Nova varijanta zlonamjernog Flodrix botneta detektovana je kako aktivno iskorištava poznate sigurnosne propuste u softverima poput Apache NiFi i PhpMyAdmin u cilju regrutovanja kompromitovanih sistema u distribuiranu mrežu za izvođenje napada. Stručnjaci za sajber bezbjednost upozoravaju da se ovaj sofisticirani malver koristi za ostvarivanje pristupa osjetljivim podacima i nastavak širenja putem ranjivih aplikacija koje su dostupne na internetu.
Flodrix botnet posjeduje mogućnosti samopokretanja i upotrebljava shell skripte za skeniranje portova, preuzimanje dodatnog malvera i izvršavanje naredbi sa udaljenih kontrolnih servera. Identifikovane mete uključuju servere koji koriste zastarjele ili pogrešno konfigurisane verzije Apache NiFi i PhpMyAdmin, čime se omogućava lak pristup sistemima bez potrebe za autentifikacijom.
Jednom kada se instalira na ciljnu mašinu, Flodrix koristi steath tehniku skrivanja svog prisustva i osigurava trajnost sistema upisivanjem malvera unutar skripti za automatsko pokretanje ili zlonamjernim modifikacijama konfiguracija sistema. Ovakav pristup omogućava kontinuirani nadzor nad kompromitovanim uređajem i potencijalno njegovo korišćenje u budućim kampanjama, uključujući distribuciju ransomware-a ili napade na kriptomjenjačnice i blockchain infrastrukture.
Stručnjaci preporučuju hitnu nadogradnju softverskih paketa na posljednje verzije koje zakrpljuju ranjivosti koje Flodrix iskorištava, te implementaciju naprednih bezbjednosnih mjera kao što su segmentacija mreže, senzori za otkrivanje upada i ograničavanje komunikacije ka nepoznatim izvorima i serverima. Takođe se savjetuje kontinuirani monitoring sistema kako bi se identifikovali potencijalni indikatori kompromitacije.
Otkriće nove Flodrix kampanje naglašava sve češće fokusiranje napadača na poznate, ali nedovoljno sanirane propuste u aplikacijama koje su široko rasprostranjene u oblaku i IT okruženju širom svijeta.
