Siber güvenlik araştırmacıları, Xorddos olarak bilinen dağıtılmış bir Hizmet Reddi (DDOS) kötü amaçlı yazılımların yarattığı riskleri uyarıyor ve Kasım 2023 ile Şubat 2025 arasındaki saldırıların yüzde 71,3’ü ABD’yi hedefliyor.
Cisco Talos araştırmacısı Joey Chen Perşembe günü yapılan bir analizde, “2020’den 2023’e kadar Xorddos Trojan yaygınlıkta önemli ölçüde arttı.” Dedi.
“Bu eğilim sadece Xorddos Truva atının yaygın küresel dağılımından değil, aynı zamanda komuta ve kontrol (C2) altyapısına bağlı kötü niyetli DNS taleplerinde bir artıştan kaynaklanmaktadır. Truva, yaygın olarak maruz kalan linux makinelerini hedeflemenin yanı sıra, docker sunucularını hedeflemenin yanı sıra, Bots’a bulaşmış konakçıları dönüştürdü.
Meydan okulu cihazların yaklaşık yüzde 42’si Amerika Birleşik Devletleri’nde, bunu Japonya, Kanada, Danimarka, İtalya, Fas ve Çin izliyor.
Xorddos, on yılı aşkın bir süredir Linux sistemlerine çarpıcı bir geçmişe sahip iyi bilinen bir kötü amaçlı yazılımdır. Mayıs 2022’de Microsoft, Xorddos aktivitesinde önemli bir artış bildirdi ve enfeksiyonlar Tsunami gibi kripto para birimi madenciliği kötü amaçlı yazılımlarının yolunu açtı.
Birincil başlangıç erişim yolu, geçerli SSH kimlik bilgileri elde etmek ve daha sonra kötü amaçlı yazılımları savunmasız IoT ve diğer İnternet bağlantılı cihazlara indirmek ve yüklemek için güvenli kabuk (SSH) kaba kuvvet saldırıları yapmayı gerektirir.
Başarılı bir şekilde bir dayanak kurduktan sonra, kötü amaçlı yazılım, System Startup’ta otomatik olarak piyasaya sürülmesi için gömülü bir başlatma komut dosyası ve bir CRON işi kullanarak kalıcılığı ayarlar. Ayrıca, C2 iletişimi için gerekli IP adreslerini çıkarmak için kendi içinde bulunan bir yapılandırmanın şifresini çözmek için XOR anahtarı “BB2FA36AAA9541F0” kullanır.
Talos, 2024’te Xorddos alt kontrolörünün VIP sürümü olarak adlandırılan yeni bir versiyonunu ve buna karşılık gelen merkezi denetleyicisinin yanı sıra bir inşaatçı ile birlikte, ürünün satışa sunulduğunu gösterdiğini söyledi.
Merkezi denetleyici, birden fazla XorddoS alt kontrolörlerini yönetmek ve DDOS komutlarını aynı anda göndermekten sorumludur. Bu alt denetleyicilerin her biri, enfekte cihazlardan oluşan bir botnet komuta eder.
Chen, “Çok katmanlı denetleyici, Xorddos Builder ve kontrolör bağlama aracının dil ayarları, operatörlerin Çince konuşan bireyler olduğunu şiddetle öneriyor.” Dedi.