Cisco Talos研究人员分析了自2014年起活跃的XorDDoS恶意软件,其通过感染Linux设备构建僵尸网络进行DDoS攻击,并在近年扩展至Docker服务器。该恶意软件持续进化,在2024年引入新基础设施和payload版本,并新增“中央控制器”以提升攻击协调能力。研究人员指出其背后为中国网络犯罪分子,并显示美国为主要受害者。 2025-4-18 13:0:50 Author: www.securityinfo.it(查看原文) 阅读量:13 收藏
Apr 18, 2025 Approfondimenti, Attacchi, Attacchi, Campagne malware, In evidenza, Malware, News, RSS
I ricercatori di Cisco Talos hanno pubblicato una nuova analisi su XorDDoS, un malware DDoS attivo dal 2014 e che ha continuato a mietere vittime in tutto il mondo e lo fa ancora oggi.
XorDDoS è un trojan che colpisce le macchine Linux per renderle parte di una botnet e sfruttarle per eseguire altri attacchi. Il malware, attivo tutt’oggi, è cresciuto notevolmente negli ultimi anni, soprattutto tra il 2020 e il 2023. Nel tempo il malware si è esteso a livello globale, cominciando a colpire anche i server Docker sfruttando attacchi brute force SSH per ottenere accesso remoto ai dispositivi.
white digital matrix of binary code numbers background
Una volta preso il controllo della macchina, il malware implementa dei meccanismi di persistenza per fare in modo che venga eseguito durante il boot del sistema e non venga individuato dai sistemi di sicurezza.
Nel 2024 i ricercatori di Cisco Talos hanno individuato nuove versioni dell’infrastruttura e del payload del malware, probabilmente già in uso dal 2017. Secondo il team di sicurezza, questa nuova suite di prodotti non è stata realizzata solo per migliorare gli attacchi, ma anche per essere messa in vendita.
Oggi l’infrastruttura di XorDDoS include anche un “central controller” in grado gestire più controller del malware contemporaneamente. “Questo controller aggiornato migliora la capacità dei cybercriminali di coordinare ed eseguire gli attacchi in maniera più efficiente, a indicare un’evoluzione nelle loro tattiche e nelle loro conoscenze” hanno spiegato i ricercatori di Cisco Talos.
Credits: Cisco Talos
Il controller invia comandi a ciascuno dei sotto-controller, i quali, a loro volta, gestiscono le botnet di macchine Linux create tramite il malware.
Secondo i ricercatori di sicurezza, i cyberattaccanti dietro XorDDoS sono di origine cinese. Il team di Cisco Talos riporta che tra novembre 2023 e febbraio 2025 il malware ha colpito per lo più negli Stati Uniti, nei quali si conta il 50% delle vittime totali. A seguire, i Paesi più colpiti risultano Spagna, Taiwan, Canada, Giappone, Brasile, Paraguay, Argentina, Regno Unito e, tra gli altri, anche l’Italia.
Altro in questa categoria
如有侵权请联系:admin#unsafe.sh