Hjem > Cyber ​​Nyheder > XORDDoS og Kaiji Linux Botnets lanceret mod Docker-servere
CYBER NEWS

XORDDoS og Kaiji Linux Botnets lanceret mod Docker-servere

Sikkerhedseksperter har opdaget to nye botnet, der er lanceret mod Docker-servere og er designet til at køre på Linux-systemer, de kaldes XORDDoS og Kaiji. De levende angreb er blevet opdaget under en storstilet verdensomspændende kampagne, der vurderes som ekstremt farlig.




Docker-servere, der er målrettet mod XORDDoS og Kaiji Linux Botnets

Hackere fortsætter med at ødelægge ødelæggende angreb mod Docker-servere, hostingfirmaer og virksomhedsnetværk. Dette gøres normalt ved hjælp af e-mail-phishing-meddelelser, der forsøger at manipulere medarbejdere og brugere til at downloade en virus til et computernetværk og derfra forårsager en farlig udbredt infektion. Den anden populære metode er afhængig af brugen af ​​automatiserede eller manuelt konfigurerede hackingværktøjer, der er designet til at nedtage eller hacke til et sårbart netværksangreb.

Den XORDDoS og Kaiji botnets er de seneste trusler, der er blevet opdaget af sikkerhedsfællesskabet. De er kendt for at være oprettet specifikt til Docker-servere, der bruges i webhostingbranchen, industrifaciliteter og skyproduktionsnetværk til produktivitet. Kaiji-botnet er en ældre infektion, der tidligere blev brugt i en stor IoT-enhedsinfektion.

På den anden side er XORDDoS botnet en ny infektion, som ikke er kendt i øjeblikket. Angrebene, der bruger disse to botnets, finder sted omtrent på samme tid, hvilket giver os grunde til at tro, at de kan drives af de samme hackinggrupper eller flere kriminelle kollektiver på en gang. De er målrettet computernetværk over hele verden uden hensyntagen til en enkelt placering eller virksomhed.

Angrebene, der bruger disse botnet, udføres ved at udføre brute force-angreb der er rettet mod målnetværket. Den aktuelle konfiguration søger efter svagheder i tre tjenester - Secure Shell, Telnet og Docker. Den port, der bruges af Docker, er 2375 har vist sig at bruge en ikke-krypteret og ikke-godkendt kommunikationskanal.

Relaterede: [wplinkpreview url =”https://sensorstechforum.com/nitrohack-malware-discord-attack/”]NitroHack Malware inficerer uoverensstemmelsesklienter i verdensomspændende angreb

Funktioner i XORDDoS og Kaiji Botnet: Hvad laver de?

Der er en bemærkelsesværdig forskel mellem infektionsmekanismen. XORDDoS-botnet vil blive lanceret mod netværkene med det primære mål at inficere Docker-serveren og alt indeholdt i containere, mens Kaiji vil implementere sin egen container, der indeholder viruskode. Begge stoler på DDoS angrebsmekanisme - et stort antal netværkspakker sendes til de målnetværk, der er vært for en modtagende server. Når antallet af netværksanmodninger er for meget, går det ned og fører til udnyttelse af sårbarheden.

Så snart XORDDoS botnet er installeret på en given computer, udløses en kommando til download en ekstern fil som vil være den faktiske viruskode. Malware er skjult inde i denne fil ved hjælp af en XOR-kode, nyttelast-dekrypteringsmekanismen pakker den ud på offerets maskiner. Dette vil lancere en Trojan-modul der vil etablere en forbindelse til en hacker-kontrolleret server, der giver kriminelle mulighed for at overtage kontrollen med systemerne. En anden ondsindet handling, der vil blive kørt som en del af infektionen, er oprettelsen af ​​en vedvarende infektion — truslen vil konfigurere systemet igen, så virusen automatisk startes og gøres meget vanskelig at fjerne ved hjælp af manuelle metoder.

Hovedmålet med botnet er at initiere distribueret angreb på nægtelse af tjeneste ved hjælp af de almindelige pakketyper SYN, ACK og DNS. Som en del af malware-motoren kan den også downloade og opdatere sig selv. XORDDoS botnet malware er også ansvarlig for udbredt informationsindsamling af følgende data:

  • Processorinformationsrapport
  • Kontrolsummer af løbsprocesserne
  • Hukommelsesoplysninger
  • Netværkshastighed
  • ID'er for løbsprocesserne

Mens Kaiji botnet følger omtrent den samme sekvens, det adskiller sig også ved at have en udvidet sæt pakker understøttelse til angreb på benægtelse af tjeneste: ACK, IPS-forfalskning, SSH, SYN, SYNACK, TCP-oversvømmelse og UDP-oversvømmelse.

Det har vist sig, at angrebene kommer fra URls og netværk, der har serveret tidligere malware. Derfor mistænkes det for, at hackinggrupperne er erfarne, eller at infrastrukturen er udlånt til forskellige hackinggrupper.

Martin Beltov

Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
Jeg er enig