Experti v oblasti kybernetické bezpečnosti varují před pokračujícími riziky spojenými s malwarem pro distribuované odmítnutí služby (DDoS) známým jako XorDDoS, přičemž 71,3 procenta útoků mezi listopadem 2023 a únorem 2025 cílilo na Spojené státy.

„Od roku 2020 do roku 2023 došlo k výraznému nárůstu prevalence trojanu XorDDoS,“ uvedl ve čtvrteční analýze výzkumník Cisco Talos Joey Chen. „Tento trend je způsoben nejen širokým globálním rozšířením trojanu XorDDoS, ale také nárůstem škodlivých DNS požadavků spojených s jeho infrastrukturou pro řízení a kontrolu (C2). Kromě útoků na běžně vystavené linuxové stroje rozšířil trojan svůj dosah i na servery Docker, čímž proměňuje infikované hostitele v boty.“

Téměř 42 procent kompromitovaných zařízení se nachází ve Spojených státech, následují Japonsko, Kanada, Dánsko, Itálie, Maroko a Čína.

XorDDoS je dobře známý malware, který útočí na linuxové systémy již více než deset let. V květnu 2022 společnost Microsoft zaznamenala výrazný nárůst aktivity XorDDoS, přičemž infekce připravily půdu pro malware těžící kryptoměny, jako je Tsunami.

Hlavní cesta počátečního přístupu spočívá v provádění útoků hrubou silou na Secure Shell (SSH) za účelem získání platných SSH přihlašovacích údajů a následného stažení a instalace malwaru na zranitelná IoT a další zařízení připojená k internetu.

Po úspěšném získání přístupu malware nastaví perzistenci pomocí vestavěného inicializačního skriptu a cron úlohy, aby se spouštěl automaticky při startu systému. Také využívá XOR klíč „BB2FA36AAA9541F0“ k dešifrování konfigurace obsažené v sobě samém, aby získal IP adresy potřebné pro komunikaci s C2.

Talos uvedl, že v roce 2024 zaznamenal novou verzi sub-kontroleru XorDDoS, nazvanou VIP verze, a odpovídající centrální kontroler spolu s builderem, což naznačuje, že produkt je pravděpodobně nabízen k prodeji.

Zdroj: The Hacker News

Zdroj: IT SECURITY NETWORK NEWS  

Zdroj: ICT NETWORK NEWS