Resumen: Recientemente, investigadores del Laboratorio de Investigación de Seguridad de Redes de Qihoo 360 (360 Netlab), detectaron una botnet en desarrollo cuyo objetivo es llevar a cabo el robo de información sensible en los sistemas Linux.
Denominada como B1txor20, la red de bots centra sus ataques en los dispositivos Linux ARM con CPU X64 y utiliza exploits dirigidos a la vulnerabilidad de Log4j.
Rastreada como CVE-2021-44228 y denominada como Log4Shell, la vulnerabilidad reside en Apache Log4j, una popular biblioteca de Java que se encarga de llevar a cabo el registro de mensajes de error en las aplicaciones.
No es de extrañar que está operación apunte a la vulnerabilidad de Log4j, ya que una explotación exitosa de la misma, podría permitirle a los actores de la amenaza llevar a cabo una amplia variedad de actividades maliciosas dentro de los dispositivos infectados.
Además, Log4Shell se ha posicionado como un vector de ataque muy atractivo, debido a que múltiples usuarios se conectan constantemente a la biblioteca vulnerable de Apache.
De acuerdo con el informe de 360 Netlab, B1txor20 posee diversas características como la descarga de malware, proxy SOCKS5, el robo de datos, la instalación de rootkits y capacidades de puerta trasera.
No obstante, lo que hace destacar a esta botnet es el uso del túnel DNS como un canal de comunicación con el servidor de mando y control (C2).
B1txor20 envía los datos robados, junto con los resultados de la ejecución de comandos y cualquier otra información, como una solicitud DNS al servidor C2. Una vez recibida la solicitud, el C2 se encarga de enviar la carga útil a la botnet como respuesta de la solicitud DNS.
Por último, los investigadores de 360 Netlab informaron que es probable que en un futuro los operadores de B1txor20 activen nuevas características. Esto se debe a que encontraron funciones que aún no están habilitadas, lo que podría significar que los desarrolladores aún están trabajando en ellas a fin de mejorar el comportamiento de la botnet.
Ahora bien, se le recomienda a todos los administradores instalar inmediatamente la última versión disponible de Apache Log4j.
Recomendaciones: Le recomendamos a los usuarios instalar Log4j 2.17. 2, que es la última versión de Apache Log4j. Esto para mitigar la posibilidad de ser víctima de cualquier tipo de explotación de la misma. Referencias: |
SÍGUENOS