Νέο XorDDoS malware επιτρέπει δημιουργία DDoS botnet
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Νέο XorDDoS malware επιτρέπει δημιουργία DDoS botnet
https://www.secnews.gr/646498/neo-xorddos-malware-epitrepei-dimiourgia-ddos-botnet/
Apr 18th 2025, 16:01
by Absenta Mia
Μια σημαντική εξέλιξη στον τομέα του DDoS έχει εντοπιστεί, καθώς η πιο πρόσφατη έκδοση του XorDDoS malware συνεχίζει να εξαπλώνεται παγκοσμίως από τον Νοέμβριο του 2023.
Δείτε επίσης: Νέο botnet Mirai πίσω από την αύξηση της εκμετάλλευσης TVT DVR
Αυτό το trojan, το οποίο στοχεύει συστήματα Linux, μετατρέπει τα μολυσμένα μηχανήματα σε «ζόμπι-bots» που μπορούν να συντονιστούν για την εκτέλεση ισχυρών επιθέσεων DDoS εναντίον συγκεκριμένων στόχων. Το κακόβουλο λογισμικό εξαπλώνεται κυρίως μέσω επιθέσεων brute-force στο πρωτόκολλο SSH, δοκιμάζοντας πληθώρα συνδυασμών διαπιστευτηρίων root σε χιλιάδες διακομιστές, μέχρι να αποκτήσει πρόσβαση σε ευάλωτες συσκευές Linux. Μόλις εισχωρήσει σε ένα σύστημα, το XorDDoS malware εγκαθιστά εξελιγμένους μηχανισμούς παραμονής, διασφαλίζοντας την αυτόματη εκκίνησή του κατά την έναρξη του συστήματος και αποφεύγοντας αποτελεσματικά τον εντοπισμό από προϊόντα ασφαλείας.
Οι ερευνητές της Cisco Talos διαπίστωσαν ότι πάνω από το 70% των επιθέσεων με χρήση του XorDDoS στόχευσαν τις Ηνωμένες Πολιτείες κατά την περίοδο παρακολούθησης.
Η ανάλυση των γλωσσικών ρυθμίσεων στον πολυεπίπεδο ελεγκτή, το εργαλείο δημιουργίας και τις λειτουργίες σύνδεσης του κακόβουλου λογισμικού υποδηλώνει ότι οι χειριστές είναι άτομα που μιλούν την κινεζική γλώσσα.
Δείτε ακόμα: Το Eleven11bot botnet έχει μολύνει 86.000 συσκευές για επιθέσεις DDoS
Αυτός ο κεντρικός ελεγκτής επιτρέπει στους κυβερνοεγκληματίες να διαχειρίζονται ταυτόχρονα πολλούς επιμέρους ελεγκτές του XorDDoS malware, ενισχύοντας σημαντικά την ικανότητά τους να συντονίζουν επιθέσεις μεγάλης κλίμακας. Ο γεωγραφικός αντίκτυπος ξεπερνά τις Ηνωμένες Πολιτείες, καθώς μολυσμένα συστήματα επιχειρούν να στοχεύσουν και να επιτεθούν σε αρκετές χώρες, όπως η Ισπανία, η Ταϊβάν, ο Καναδάς, η Ιαπωνία, η Βραζιλία και πολλά ευρωπαϊκά κράτη.
Η διαδικασία μόλυνσης ξεκινά όταν το XorDDoS καταφέρει να παραβιάσει μια συσκευή Linux μέσω brute-force επιθέσεων στο SSH. Αφού αποκτήσει πρόσβαση, εγκαθιστά ένα κακόβουλο shell script, το οποίο εφαρμόζει ισχυρούς μηχανισμούς παραμονής στο σύστημα μέσω των αρχείων init και των cron jobs. Το κακόβουλο λογισμικό διασφαλίζει τη συνεχή λειτουργία του εγκαθιστώντας scripts init σε πολλαπλά επίπεδα εκκίνησης και προσθέτοντας ένα cron job που εκτελείται κάθε τρία λεπτά.
Μόλις οι διευθύνσεις URL ή οι IP αποκρυπτογραφηθούν, προστίθενται σε μια απομακρυσμένη λίστα που χρησιμοποιείται για την καθιέρωση επικοινωνίας με τους διακομιστές εντολών και ελέγχου (command-and-control). Αυτός ο προηγμένος μηχανισμός κρυπτογράφησης βοηθά το κακόβουλο λογισμικό να αποφεύγει τον εντοπισμό, διατηρώντας ταυτόχρονα συνεχή επικοινωνία με τους χειριστές του.
Δείτε επίσης: Το Vo1d malware botnet στοχεύει όλο και περισσότερες Android TVs
Βάσει των παραπάνω, είναι φανερό ότι το XorDDoS malware διαθέτει ένα ιδιαίτερα οργανωμένο και ανθεκτικό οικοσύστημα κακόβουλης λειτουργίας, που του επιτρέπει να παραμένει ενεργό για μεγάλα χρονικά διαστήματα χωρίς να ανιχνεύεται εύκολα. Η χρήση απομακρυσμένων λιστών για την επικοινωνία με servers εντολών και ελέγχου, σε συνδυασμό με μηχανισμούς κρυπτογράφησης και επίμονης παρουσίας, το καθιστά ένα από τα πιο εξελιγμένα botnets που στοχεύουν συστήματα Linux.
Πηγή: cybersecuritynews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Νέο XorDDoS malware επιτρέπει δημιουργία DDoS botnet
https://www.secnews.gr/646498/neo-xorddos-malware-epitrepei-dimiourgia-ddos-botnet/
Apr 18th 2025, 16:01
by Absenta Mia
Μια σημαντική εξέλιξη στον τομέα του DDoS έχει εντοπιστεί, καθώς η πιο πρόσφατη έκδοση του XorDDoS malware συνεχίζει να εξαπλώνεται παγκοσμίως από τον Νοέμβριο του 2023.
Δείτε επίσης: Νέο botnet Mirai πίσω από την αύξηση της εκμετάλλευσης TVT DVR
Αυτό το trojan, το οποίο στοχεύει συστήματα Linux, μετατρέπει τα μολυσμένα μηχανήματα σε «ζόμπι-bots» που μπορούν να συντονιστούν για την εκτέλεση ισχυρών επιθέσεων DDoS εναντίον συγκεκριμένων στόχων. Το κακόβουλο λογισμικό εξαπλώνεται κυρίως μέσω επιθέσεων brute-force στο πρωτόκολλο SSH, δοκιμάζοντας πληθώρα συνδυασμών διαπιστευτηρίων root σε χιλιάδες διακομιστές, μέχρι να αποκτήσει πρόσβαση σε ευάλωτες συσκευές Linux. Μόλις εισχωρήσει σε ένα σύστημα, το XorDDoS malware εγκαθιστά εξελιγμένους μηχανισμούς παραμονής, διασφαλίζοντας την αυτόματη εκκίνησή του κατά την έναρξη του συστήματος και αποφεύγοντας αποτελεσματικά τον εντοπισμό από προϊόντα ασφαλείας.
Οι ερευνητές της Cisco Talos διαπίστωσαν ότι πάνω από το 70% των επιθέσεων με χρήση του XorDDoS στόχευσαν τις Ηνωμένες Πολιτείες κατά την περίοδο παρακολούθησης.
Η ανάλυση των γλωσσικών ρυθμίσεων στον πολυεπίπεδο ελεγκτή, το εργαλείο δημιουργίας και τις λειτουργίες σύνδεσης του κακόβουλου λογισμικού υποδηλώνει ότι οι χειριστές είναι άτομα που μιλούν την κινεζική γλώσσα.
Δείτε ακόμα: Το Eleven11bot botnet έχει μολύνει 86.000 συσκευές για επιθέσεις DDoS
Αυτός ο κεντρικός ελεγκτής επιτρέπει στους κυβερνοεγκληματίες να διαχειρίζονται ταυτόχρονα πολλούς επιμέρους ελεγκτές του XorDDoS malware, ενισχύοντας σημαντικά την ικανότητά τους να συντονίζουν επιθέσεις μεγάλης κλίμακας. Ο γεωγραφικός αντίκτυπος ξεπερνά τις Ηνωμένες Πολιτείες, καθώς μολυσμένα συστήματα επιχειρούν να στοχεύσουν και να επιτεθούν σε αρκετές χώρες, όπως η Ισπανία, η Ταϊβάν, ο Καναδάς, η Ιαπωνία, η Βραζιλία και πολλά ευρωπαϊκά κράτη.
Η διαδικασία μόλυνσης ξεκινά όταν το XorDDoS καταφέρει να παραβιάσει μια συσκευή Linux μέσω brute-force επιθέσεων στο SSH. Αφού αποκτήσει πρόσβαση, εγκαθιστά ένα κακόβουλο shell script, το οποίο εφαρμόζει ισχυρούς μηχανισμούς παραμονής στο σύστημα μέσω των αρχείων init και των cron jobs. Το κακόβουλο λογισμικό διασφαλίζει τη συνεχή λειτουργία του εγκαθιστώντας scripts init σε πολλαπλά επίπεδα εκκίνησης και προσθέτοντας ένα cron job που εκτελείται κάθε τρία λεπτά.
Μόλις οι διευθύνσεις URL ή οι IP αποκρυπτογραφηθούν, προστίθενται σε μια απομακρυσμένη λίστα που χρησιμοποιείται για την καθιέρωση επικοινωνίας με τους διακομιστές εντολών και ελέγχου (command-and-control). Αυτός ο προηγμένος μηχανισμός κρυπτογράφησης βοηθά το κακόβουλο λογισμικό να αποφεύγει τον εντοπισμό, διατηρώντας ταυτόχρονα συνεχή επικοινωνία με τους χειριστές του.
Δείτε επίσης: Το Vo1d malware botnet στοχεύει όλο και περισσότερες Android TVs
Βάσει των παραπάνω, είναι φανερό ότι το XorDDoS malware διαθέτει ένα ιδιαίτερα οργανωμένο και ανθεκτικό οικοσύστημα κακόβουλης λειτουργίας, που του επιτρέπει να παραμένει ενεργό για μεγάλα χρονικά διαστήματα χωρίς να ανιχνεύεται εύκολα. Η χρήση απομακρυσμένων λιστών για την επικοινωνία με servers εντολών και ελέγχου, σε συνδυασμό με μηχανισμούς κρυπτογράφησης και επίμονης παρουσίας, το καθιστά ένα από τα πιο εξελιγμένα botnets που στοχεύουν συστήματα Linux.
Πηγή: cybersecuritynews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια