Theo nghiên cứu mới nhất của Microsoft, một phần mềm độc hại botnet Linux có tên XorDdos đã tăng cường hoạt động 254% trong sáu tháng qua. XorDdos – hoạt động từ 2014, thực hiện các cuộc tấn công từ chối dịch vụ trên hệ thống Linux và sử dụng mã XOR để liên lạc với C&C server (C2 server).

Trong buổi họp báo về mã độc này, Ratnesh Pandey, Yevgeny Kulakov và Jonathan Bar Or thuộc Nhóm nghiên cứu Microsoft 365 Defender cho biết: “Bản chất mô-đun của XorDdos giống như một loại trojan đa năng có khả năng lây nhiễm nhiều loại kiến trúc hệ thống Linux. Các cuộc tấn công brute-force SSH của nó là một kỹ thuật tương đối đơn giản nhưng hiệu quả để đạt được quyền truy cập root”.

IoT và các thiết bị kết nối internet cũng bị tấn công tương tự thông qua kỹ thuật brute-force  SSH, cho phép mã độc thiết lập một mạng botnet có khả năng thực hiện tấn công từ chối dịch vụ phân tán (DdoS). Bên cạnh việc được biên dịch cho các kiến trúc ARM, x86 và x64, XorDdos được thiết kế để hỗ trợ các bản phân phối Linux khác nhau, chưa kể còn đi kèm với các tính năng thu thập thông tin nhạy cảm, cài đặt rootkit và hoạt động như một bàn đạp cho các hoạt động tiếp theo.

 Trong một kịch bản khác, XorDdos có thể hoạt động như một công cụ phục vụ cho các tấn công sâu hơn vào hệ thống, sau khi XorDdos tấn công các thiết bị, các tác nhân đe dọa sẽ phát tán một trojan khác là Tsunami được dùng để triển khai công cụ khai thác tiền ảo XMRig.

Những năm gần đây, XorDdos nhắm mục tiêu các máy chủ Docker không được bảo vệ với các cổng bị lộ (2375), sử dụng các hệ thống botnet tạo ra lưu lượng truy cập giả khiến chúng từ chối dịch vụ. XorDdos kể từ đó đã trở thành mối đe dọa hàng đầu vào Linux trong năm 2021, tiếp theo là Mirai và Mozi, chiếm hơn 22% tổng số malware IoT được quan sát thấy, theo công ty an ninh mạng CrowdStrike.

Các nhà nghiên cứu lưu ý rằng: “XorDdos sử dụng nhiều cơ chế lẩn trốn, cho phép hoạt động của nó duy trì mạnh mẽ và bí mật. Khả năng trốn tránh của XorDdos bao gồm làm xáo trộn các hoạt động của malware, tránh các cơ chế phát hiện dựa trên signature và tra cứu tệp độc hại dựa trên hàm băm, cũng như sử dụng các kỹ thuật chống forensic để phá vỡ quy trình phân tích tree-based.”