RapperBot البرامج الضارة

حدد باحثو Infosec برنامجًا ضارًا خطيرًا لـ IoT (إنترنت الأشياء) ، تم تتبعه على أنه RapperBot. كشف تحليل التهديد أن منشئوه استخدموا شفرة المصدر الخاصة بشبكة Mirai Botnet سيئة السمعة بكثافة. تم استخدام تهديد Mirai في العديد من الهجمات البارزة قبل تسريب شفرة المصدر الخاصة به للجمهور في أكتوبر 2016. ومنذ ذلك الحين ، حدد باحثو الأمن السيبراني أكثر من 60 نوعًا من الروبوتات والبرامج الضارة باستخدام Mirai كأساس. ومع ذلك ، عندما يتعلق الأمر بـ RapperBot ، فإن التهديد يعرض العديد من حالات الخروج الرئيسية عن سلوك Mirai النموذجي.

تم نشر تفاصيل حول RapperBot في تقرير للباحثين الأمنيين مؤخرًا. وفقًا للنتائج التي توصلوا إليها ، فإن التهديد نشط منذ يونيو 2022 ويخضع لتطور سريع. يستخدم تهديد الروبوتات تكتيكات القوة الغاشمة لكسب موطئ قدم على خوادم Linux SSH ، على عكس تطبيق Mirai المعتاد لاستهداف خوادم Telnet.

وفقًا للتقرير ، ينمو RapperBot بسرعة خوادم SSH المستعبدة مع أكثر من 3500 عنوان IP فريد يمسح الإنترنت ويقحم طريقهم إلى ضحايا جدد. يبدو أيضًا أن RapperBot قد تركت وراءه تقنيات الانتشار الذاتي الشبيهة بميرا لصالح أساليب أكثر قائمة على المثابرة. نتيجة لذلك ، يمكن أن يظل التهديد على النظام المصاب حتى بعد إعادة التشغيل أو محاولة الإزالة من قبل الضحايا.

يتم الوصول إلى الخوادم المخترقة عبر إضافة مفتاح SSH العام للمشغل. يتم إدخال المفتاح في ملف محدد يسمى "~ / .ssh / author_keys." بعد ذلك ، سيتمكن المهاجمون من الاتصال بحرية بالخادم والمصادقة باستخدام المفتاح الخاص المقابل فقط دون الحاجة إلى توفير كلمة مرور. ستحافظ هذه التقنية على الوصول إلى الخادم حتى إذا تم تحديث بيانات اعتماد SSH أو تعطيل مصادقة كلمة مرور SSH. بالإضافة إلى ذلك ، من خلال استبدال الملف الشرعي ، قام مجرمو الإنترنت بحذف جميع المفاتيح المصرح بها الموجودة حاليًا ، مما منع المستخدمين الشرعيين من الوصول بنجاح إلى خادم SSH المخترق عبر مصادقة المفتاح العام.

تظل أهداف مشغلي RapperBot Malware غامضة. على سبيل المثال ، تزيل الجهات الفاعلة في التهديد قدرات DDoS (رفض الخدمة الموزعة) للتهديد تمامًا ، فقط لإعادة تقديم الأخير بشكل محدود.