Microsoft попереджає про зростання активності вірусу XorDDoS у середовищі Linux
Дослідницька група Microsoft 365 Defender зафіксувала збільшення активності Linux-трояна під назвою XorDdos на 254% протягом останніх шести місяців. Вперше виявлений у 2014 р. дослідниками MalwareMustDie, XorDdos був названий через його дії, пов'язані з відмовою в обслуговуванні на кінцевих точках та серверах Linux, а також через використання ним для зв'язку шифрування на основі XOR.
XorDdos відбиває тенденцію до того, що шкідливе програмне забезпечення все більше націлене на системи на базі Linux, які зазвичай розгортаються в хмарних інфраструктурах і на пристроях інтернету речей (IoT). Компрометуючи IoT та інші пристрої, підключені до інтернету, XorDdos створює ботнети, які можна використовувати для проведення розподілених атак на кшталт «відмова в обслуговуванні» (DDoS). Останні самі собою є серйозною проблемою з багатьох причин. Але такі атаки також можуть використовуватися як прикриття для подальших шкідливих дій, таких як впровадження вірусів та проникнення в цільові системи.
Ботнети також можуть використовуватися для компрометації інших пристроїв, а XorDdos саме відомий тим, що використовує атаки на Secure Shell (SSH) для отримання віддаленого контролю над цільовими пристроями. Це один із найпоширеніших протоколів в ІТ-інфраструктурах, який забезпечує зашифрований зв'язок незахищеними мережами для цілей віддаленого системного адміністрування, що робить його привабливим вектором для зловмисників. Як тільки XorDdos ідентифікує дійсні облікові дані SSH, він використовує привілеї root для запуску сценарію, який завантажує та встановлює XorDdos на цільовому пристрої.
Крім того, XorDdos використовує механізми, які дозволяють його операціям залишатися непомітними в системі.
XorDdos також є наочним свідченням ще однієї тенденції, що спостерігається на різних платформах, коли шкідливе ПЗ використовується для доставляння інших загроз. Так дослідники виявили, що пристрої, спочатку заражені XorDdos, пізніше були заражені додатковими шкідливими програмами, такими як бекдор Tsunami, який потім розгортає майнер XMRig.
