Blog

Se descubre una nueva Botnet que estaría explotando Sistemas Operativos Linux con Log4J

Una botnet recientemente descubierta bajo desarrollo activo estaría apuntando a los sistemas Linux, tratando de incorporarlos a un ejército de bots listos para robar información confidencial, instalando rootkits, creando shells inversos y actuando como proxies de tráfico web para los operadores de amenazas de esta nueva Botnet.

El malware recién descubierto, denominado como «B1txor20″ por los investigadores del Laboratorio de Investigación de Seguridad de Qihoo 360 (360 Netlab), centra sus ataques en dispositivos de arquitectura de CPU Linux ARM, X64. La botnet utiliza exploits dirigidos a la vulnerabilidad Log4J para infectar nuevos hosts, un vector de ataque muy atractivo ya que docenas de proveedores utilizan la vulnerable biblioteca de registro Apache Log4j.

Los investigadores detectaron por primera vez la botnet «B1txor20» el 9 de febrero, cuando la primera muestra quedó atrapada por uno de sus sistemas de honeypot de la empresa 360 NetLab. En total, capturaron un total de cuatro muestras de malware, con backdoors, proxy SOCKS5, descarga de malware, robo de datos, ejecución arbitraria de comandos y funcionalidad de instalación de rootkits.

Sin embargo, lo que hace que el malware «B1txor20″ se destaque es el uso del túnel DNS para los canales de comunicación con el servidor de comando y control (C2), una técnica antigua pero aún confiable utilizada por los actores de amenazas para explotar el protocolo DNS para tunelizar malware y datos a través de consultas DNS.

Los investigadores de 360 Netlab también encontraron que, si bien los desarrolladores del malware incluían un conjunto más amplio de características, no todas están habilitadas. Esto es probablemente una señal de que las características deshabilitadas todavía tienen errores, y los creadores de «B1txor20″ todavía están trabajando para mejorarlas y activarlas en el futuro. Al final del informe, se puede encontrar información adicional, incluidos indicadores de compromiso (IOC) y una lista de todas las instrucciones C2 compatibles.

Más Información

https://blog.netlab.360.com/b1txor20-use-of-dns-tunneling_en/

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alerta Temprana de Riesgos Cibernéticos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

No dejes tu seguridad para después.

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required