B1txor20 - Linux-бэкдор использующий технологию DNS Tunnel, распространяется через уязвимость Log4j.
Уязвимость Log4j также известна как Log4Shell или CVE-2021-44228. Это критическая брешь в ПО, которая позволяет злоумышленникам запускать неавторизованный удаленный код, просто отправив команду на логирование определенной строки.
Indicators of Compromise
IPv4
- 104.244.73.126
- 109.201.133.100
- 162.247.74.27
- 23.129.64.216
- 23.154.177.4
- 45.13.104.179
- 45.154.255.147
- 45.61.185.90
- 46.166.139.111
- 5.2.69.50
- 51.15.43.205
- 62.102.148.68
- 62.102.148.69
- 81.17.18.62
MD5
- 027d74534a32ba27f225fff6ee7a755f
- 0a0c43726fd256ad827f4108bdf5e772
- 24c49e4c75c6662365e10bbaeaeecb04
- 2e5724e968f91faaf156c48ec879bb40
- 3192e913ed0138b2de32c5e95146a24a
- 40024288c0d230c0b8ad86075bd7c678
- 43fcb5f22a53a88e726ebef46095cd6b
- 59690bd935184f2ce4b7de0a60e23f57
- 5f77c32c37ae7d25e927d91eb3b61c87
- 6b42a9f10db8b11a15006abced212fa4
- 6c05637c29b347c28d05b937e670c81e
- 7ef9d37e18b48de4b26e5d188a383ec8
- 7f4e74e15fafaf3f8b79254558019d7f
- 989dd7aa17244da78309d441d265613a
- dd4b6e2750f86f2630e3aea418d294c0
- e82135951c3d485b7133b9673194a79e
- fd84b2f06f90940cb920e20ad4a30a63
TTP - тактика, техника, процедуры
Тактика, методы и процедуры (TTP) обобщают предполагаемые методы MITRE ATT&CK, используемые B1txor20.
| ID | Техника | CWE | Описание | Доверие |
| 1 | T1006 | CWE-22, CWE-23 | Обход имени пути | Высокий |
| 2 | T1040 | CWE-294, CWE-319 | Обход аутентификации путем перехвата и повторного воспроизведения информации | Высокий |
| 3 | T1055 | CWE-74 | Инъекция | Высокий |
| 4 | T1059 | CWE-94 | Межсайтовый скриптинг | Высокий |
| 5 | T1059.007 | CWE-79, CWE-80 | Межсайтовый скриптинг | Высокий |