Microsoft upozorava na XorDdos malware koji cilja Linux uređaje

Linuxov botnet malware poznat kao XorDdos porastao je u aktivnosti za 254 posto tijekom posljednjih šest mjeseci, prema najnovijem istraživanju Microsofta.

Taj "trojanac", nazvan tako zbog provođenja napada uskraćivanjem usluge na Linux sustave i korištenja enkripcije temeljene na XOR-u za komunikaciju sa svojim poslužiteljem za naredbu i kontrolu (C2), aktivan je najmanje od 2014., no sad je počeo "puniti stupce".

"Modularna priroda XorDdosa pruža napadačima svestrani "trojanac" koji je sposoban zaraziti različite arhitekture Linux sustava", rekli su Ratnesh Pandey, Yevgeny Kulakov i Jonathan Bar Or iz Microsoft 365 Defender Research Teama u istraživanju ovog malwarea.

"Njegovi SSH "brute-force" napadi su relativno jednostavni, ali učinkovita je to tehnika za dobivanje "root" pristupa preko brojnih potencijalnih ciljeva.

Daljinska kontrola nad ranjivim uređajima Interneta stvari (IoT) i drugim uređajima povezanima na internet, ostvaruje se putem SSH (secure shell) "brute-force" napada, omogućujući malwareu da formira botnet sposoban prenositi distribuirane napade uskraćivanja usluge (DDoS).

Osim što je kreiran za ARM, x86 i x64 arhitekture, malware je dizajniran i da podržava različite distribucije Linuxa. Uz to, uređaji koji su izvorno probijeni XorDdos-om bivaju naknadno zaraženi drugim Linux "trojancem" zvanim Tsunami, koji zatim postavlja XMRig coin rudar.

Posljednjih godina XorDdos je ciljao nezaštićene Docker poslužitelje s izloženim portovima (2375), koristeći ranjive sustave kako bi preplavio ciljnu mrežu ili uslugu lažnim prometom te je učinio nedostupnom.

"XorDdos koristi mehanizme izbjegavanja i postojanosti koji omogućuju da njegove operacije ostanu robusne i skrivene", istaknuli su u Microsoftu te naglasili da upravo činjenica da uspijeva ostati skriven i jest ono što ga čini toliko opasnim.