XorDDoS 新变种瞄准 Docker、Linux 及物联网设备

HackerNews 编译，转载请注明出处：

网络安全研究人员警告，名为XorDDoS的分布式拒绝服务（DDoS）恶意软件持续构成威胁，2023年11月至2025年2月期间观测到的攻击中有71.3%针对美国。

"2020至2023年间，XorDDoS木马感染量显著攀升，"思科Talos研究员Joey Chen在周四的分析报告中指出，"此趋势不仅源于XorDDoS木马的全球广泛传播，更与其命令控制（C2）基础设施相关的恶意DNS请求激增有关。除常规暴露的Linux设备外，该木马现已将攻击范围扩展至Docker服务器，将受感染主机转化为僵尸节点。"

近42%的受控设备位于美国，其次是日本、加拿大、丹麦、意大利、摩洛哥与中国。

XorDDoS是臭名昭著的恶意软件，过去十余年持续攻击Linux系统。2022年5月，微软报告XorDDoS活动激增，其感染为Tsunami等加密货币挖矿软件铺路。

主要初始入侵途径是通过SSH暴力攻击获取有效凭证，进而在存在漏洞的物联网及其他联网设备上下载安装恶意软件。

成功植入后，恶意软件通过内嵌初始化脚本与定时任务（cron job）建立持久化机制，确保系统启动时自动运行。同时利用XOR密钥"BB2FA36AAA9541F0"解密内置配置，提取C2通信所需IP地址。 Talos表示，2024年观测到名为VIP版的XorDDoS子控制器新版本及其配套中央控制器与构建器，表明该恶意软件可能已进入商业化销售阶段。

中央控制器负责管理多个XorDDoS子控制器并同步发送DDoS指令，每个子控制器则操控由受感染设备组成的僵尸网络。

Chen强调道。"多层控制器、XorDDoS构建器与控制端绑定工具的语言设置强烈暗示，幕后运营者为中文使用者。"

消息来源：thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络； 

转载请注明“转自 HackerNews.cc”并附上原文