恶意软件扩展到Docker、Linux和IoT

网络安全研究人员警告称，分布式拒绝服务 (DDoS) 恶意软件XorDDoS将继续带来风险，2023 年 11 月至 2025 年 2 月期间 71.3% 的攻击针对美国。

思科 Talos 研究员 Joey Chen在周四的分析中表示： “从 2020 年到 2023 年，XorDDoS 木马的流行程度显著增加。”

这一趋势不仅是由于 XorDDoS 木马在全球范围内的广泛传播，还因为与其命令与控制 (C2) 基础设施相关的恶意 DNS 请求数量有所上升。除了针对常见的暴露 Linux 机器之外，该木马还将攻击范围扩展到 Docker 服务器，将受感染的主机转变为机器人程序。

近 42% 的受感染设备位于美国，其次是日本、加拿大、丹麦、意大利、摩洛哥。

XorDDoS 是一种众所周知的恶意软件，十多年来一直攻击 Linux 系统。2022 年 5 月，微软报告XorDDoS 活动大幅增加，这些感染为 Tsunami 等加密货币挖矿恶意软件铺平了道路。

主要的初始访问途径包括进行安全外壳 (SSH) 暴力攻击以获取有效的 SSH 凭据，然后在易受攻击的物联网和其他互联网连接设备上下载并安装恶意软件。

成功建立立足点后，该恶意软件会使用嵌入式初始化脚本和 cron 任务建立持久性，以便在系统启动时自动启动。它还会使用 XOR 密钥“BB2FA36AAA9541F0”解密自身内部的配置，以提取 C2 通信所需的 IP 地址。

Talos 表示，它在 2024 年观察到了新版本的 XorDDoS 子控制器（称为VIP 版本）及其对应的中央控制器以及构建器，这表明该产品很可能正在宣传销售。

中央控制器负责管理多个XorDDoS子控制器并同时发送DDoS命令。每个子控制器依次控制一个由受感染设备组成的僵尸网络。

陈说：“多层控制器、XorDDoS 构建器和控制器绑定工具的语言设置强烈表明操作员是讲中文的人。”