گسترش دامنه بدافزار XorDDoS؛ از لینوکس تا Docker و IoT

به گزارش زوم تک به نقل از منبع خبر، محققان امنیت سایبری در مورد خطرات مداوم ناشی از بدافزار توزیع‌شده انکار سرویس (DDoS) به نام XorDDoS هشدار می‌دهند. طبق گزارش‌ها، ۷۱.۳ درصد از حملات بین نوامبر ۲۰۲۳ و فوریه ۲۰۲۵ ایالات متحده را هدف قرار داده‌اند.

گسترش دامنه بدافزار XorDDoS؛ از لینوکس تا Docker و IoT

جوی چن، محقق سیسکو تالوس، در تحلیلی که روز پنجشنبه منتشر کرد، اظهار داشت: «از سال ۲۰۲۰ تا ۲۰۲۳، شیوع تروجان XorDDoS به طور چشمگیری افزایش یافته است.» وی افزود: «این روند نه تنها به دلیل توزیع گسترده جهانی تروجان XorDDoS، بلکه به دلیل افزایش درخواست‌های DNS مخرب مرتبط با زیرساخت فرماندهی و کنترل (C2) آن است. این تروجان علاوه بر هدف قرار دادن ماشین‌های لینوکس که معمولاً در معرض خطر قرار دارند، دامنه خود را به سرورهای Docker نیز گسترش داده و میزبان‌های آلوده را به ربات تبدیل می‌کند.»

تقریباً ۴۲ درصد از دستگاه‌های آلوده در ایالات متحده قرار دارند و پس از آن ژاپن، کانادا، دانمارک، ایتالیا، مراکش و چین در رتبه‌های بعدی قرار دارند.

XorDDoS یک بدافزار شناخته شده است که سابقه حمله به سیستم‌های لینوکس را برای بیش از یک دهه دارد. در ماه مه ۲۰۲۲، مایکروسافت از افزایش قابل توجه فعالیت XorDDoS خبر داد که این آلودگی‌ها راه را برای بدافزارهای استخراج ارزهای دیجیتال مانند Tsunami هموار می‌کرد.

روش‌های نفوذ و پایداری بدافزار

روش اصلی دسترسی اولیه شامل انجام حملات brute-force به Secure Shell (SSH) برای به دست آوردن اعتبارنامه‌های معتبر SSH و سپس دانلود و نصب بدافزار بر روی دستگاه‌های آسیب‌پذیر IoT و سایر دستگاه‌های متصل به اینترنت است.

پس از برقراری موفقیت‌آمیز جای پا، بدافزار با استفاده از یک اسکریپت инициализация تعبیه‌شده و یک کار cron، پایداری خود را تنظیم می‌کند تا در هنگام راه‌اندازی سیستم به طور خودکار اجرا شود. همچنین از کلید XOR با مقدار “BB2FA36AAA9541F0” برای رمزگشایی پیکربندی موجود در خود استفاده می‌کند تا آدرس‌های IP لازم برای ارتباط با C2 را استخراج کند.

شناسایی نسخه جدید کنترلر و احتمال فروش آن

تالوس اعلام کرد که در سال ۲۰۲۴ یک نسخه جدید از زیرمجموعه کنترلر XorDDoS به نام نسخه VIP و کنترلر مرکزی مربوط به آن را به همراه یک سازنده مشاهده کرده است که نشان می‌دهد احتمالاً این محصول برای فروش تبلیغ می‌شود.

کنترلر مرکزی مسئول مدیریت چندین زیرمجموعه کنترلر XorDDoS و ارسال همزمان دستورات DDoS است. هر یک از این زیرمجموعه‌های کنترلر نیز به نوبه خود یک بات‌نت از دستگاه‌های آلوده را فرماندهی می‌کنند.

چن در این باره گفت: «تنظیمات زبان کنترلر چند لایه، سازنده XorDDoS و ابزار اتصال کنترلر قویاً نشان می‌دهد که گردانندگان آن افراد چینی زبان هستند.»