Una botnet recientemente descubierta bajo desarrollo activo estaría apuntando a los sistemas Linux, tratando de incorporarlos a un ejército de bots listos para robar información confidencial, instalando rootkits, creando shells inversos y actuando como proxies de tráfico web para los operadores de amenazas de esta nueva Botnet.
El malware recién descubierto, denominado como «B1txor20″ por los investigadores del Laboratorio de Investigación de Seguridad de Qihoo 360 (360 Netlab), centra sus ataques en dispositivos de arquitectura de CPU Linux ARM, X64. La botnet utiliza exploits dirigidos a la vulnerabilidad Log4J para infectar nuevos hosts, un vector de ataque muy atractivo ya que docenas de proveedores utilizan la vulnerable biblioteca de registro Apache Log4j.
Los investigadores detectaron por primera vez la botnet «B1txor20» el 9 de febrero, cuando la primera muestra quedó atrapada por uno de sus sistemas de honeypot de la empresa 360 NetLab. En total, capturaron un total de cuatro muestras de malware, con backdoors, proxy SOCKS5, descarga de malware, robo de datos, ejecución arbitraria de comandos y funcionalidad de instalación de rootkits.
Sin embargo, lo que hace que el malware «B1txor20″ se destaque es el uso del túnel DNS para los canales de comunicación con el servidor de comando y control (C2), una técnica antigua pero aún confiable utilizada por los actores de amenazas para explotar el protocolo DNS para tunelizar malware y datos a través de consultas DNS.

Los investigadores de 360 Netlab también encontraron que, si bien los desarrolladores del malware incluían un conjunto más amplio de características, no todas están habilitadas. Esto es probablemente una señal de que las características deshabilitadas todavía tienen errores, y los creadores de «B1txor20″ todavía están trabajando para mejorarlas y activarlas en el futuro. Al final del informe, se puede encontrar información adicional, incluidos indicadores de compromiso (IOC) y una lista de todas las instrucciones C2 compatibles.
Más Información
https://blog.netlab.360.com/b1txor20-use-of-dns-tunneling_en/

Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence