Το botnet RapperBot που βασίζεται στο Mirai επανεμφανίστηκε μέσω μιας νέας καμπάνιας που μολύνει συσκευές IoT για επιθέσεις DDoS (Distributed Denial of Service) εναντίον game servers.
Τον περασμένο Αύγουστο, ερευνητές της Fortinet βρήκαν κακόβουλο λογισμικό που μόλυνε διακομιστές Linux μέσω SSH brute-forcing.
Οι ερευνητές διαπίστωσαν ότι το RapperBot είναι ενεργό από τον Μάιο του 2021, αλλά είναι δύσκολο να κατανοήσουμε τους συγκεκριμένους στόχους του.
Δείτε επίσης: CISA: Ιρανοί hackers παραβίασαν οργανισμό με Log4Shell exploit
Η νεότερη έκδοση αυτού του ιού χρησιμοποιεί έναν μηχανισμό Telnet self-propagation, ο οποίος μοιάζει περισσότερο με το αρχικό κακόβουλο λογισμικό Mirai.
Επίσης, το κίνητρο της τρέχουσας καμπάνιας είναι πιο εμφανές, καθώς οι εντολές DoS στην τελευταία παραλλαγή είναι προσαρμοσμένες για επιθέσεις εναντίον server που φιλοξενούν διαδικτυακά παιχνίδια.
Δείτε επίσης: Ο leader της ομάδας hacking JabberZeus συνελήφθη στη Γενεύη
Τι ακριβώς είναι το RapperBot
Οι αναλυτές της Fortinet μπόρεσαν να πάρουν δείγμα της νέας παραλλαγής χρησιμοποιώντας C2 communication artifacts που συλλέχθηκαν στις προηγούμενες εκστρατείες, γεγονός που υποδηλώνει ότι αυτό το μέρος της λειτουργίας του botnet παρέμεινε αμετάβλητο.
Οι αναλυτές ανακάλυψαν ότι η νέα παραλλαγή περιλάμβανε αρκετές αλλαγές, όπως υποστήριξη για Telnet brute-forcing, μέσω αυτών των εντολών:
- Register (χρησιμοποιείται από τον client)
- Μείνε ανενεργό/Μην κάνεις τίποτα
- Σταμάτα όλες τις επιθέσεις DoS και τερμάτισε τον client
- Εκτέλεσε μια επίθεση DoS
- Σταμάτα όλες τις επιθέσεις DoS
- Κάνε restart στο Telnet brute forcing
- Σταμάτα το Telnet brute forcing
Το malware προσπαθεί να αποκτήσει πρόσβαση σε συσκευές χρησιμοποιώντας κοινά αδύναμα credentials από μια hardcoded λίστα, αντί να αντλεί τις πληροφορίες από το C2 όπως έκανε στο παρελθόν.
Μετά την επιτυχή εύρεση των credentials, το αναφέρει στο C2 μέσω της θύρας 5123 και, στη συνέχεια, επιχειρεί να ανακτήσει και να εγκαταστήσει τη σωστή έκδοση του πρωτεύοντος payload binary για την αρχιτεκτονική συσκευής που εντοπίστηκε.
Δείτε επίσης: CommonSpirit Health: Η ransomware επίθεση πιθανότατα επηρεάζει εκατομμύρια Αμερικανούς
Είναι πιθανό να εμπλέκονται οι ίδιοι φορείς
Η Fortinet ανακάλυψε ότι όλες οι εκστρατείες του RapperBot ελέγχονται από τα ίδια άτομα, καθώς οι νεότερες παραλλαγές δείχνουν ότι έχουν πρόσβαση στον πηγαίο κώδικα του κακόβουλου λογισμικού.
Εξάλλου, το πρωτόκολλο επικοινωνίας C2 δεν έχει αλλάξει από τον Αύγουστο του 2021 και οι απόπειρες παραβίασης έχουν χρησιμοποιήσει τα ίδια credentials. Επίσης, δεν υπάρχουν ενδείξεις ότι διαφορετικές εκστρατείες συνεργάζονται αυτή τη στιγμή.
Ο καλύτερος τρόπος για να προστατέψετε τις συσκευές IoT από μολύνσεις botnet είναι να διατηρείτε το firmware ενημερωμένο, να αλλάζετε τα προεπιλεγμένα credentials με έναν δύσκολο και μοναδικό κωδικό πρόσβασης και να τις τοποθετείτε πίσω από firewall, όποτε είναι δυνατόν.
Πηγή πληροφοριών: bleepingcomputer.com
