Threat Database Malware RapperBot злонамерен софтуер

RapperBot злонамерен софтуер

Изследователите на Infosec са идентифицирали опасен IoT (Интернет на нещата) зловреден софтуер, проследяван като RapperBot. Анализът на заплахата разкри, че нейните създатели са използвали силно изходния код на скандалния Mirai Botnet . Заплахата Mirai беше използвана в няколко високопрофилни атаки, преди нейният изходен код да изтече в обществеността през октомври 2016 г. Оттогава изследователите на киберсигурността са идентифицирали над 60 варианта на ботнет и зловреден софтуер, използвайки Mirai като основа. Въпреки това, когато става въпрос за RapperBot, заплахата показва няколко големи отклонения от типичното поведение на Mirai.

Подробности за RapperBot бяха публикувани в доклад на изследователи по сигурността наскоро. Според техните констатации заплахата е активна от юни 2022 г. и търпи бързо развитие. Ботнет заплахата използва тактика на груба сила, за да стъпи на Linux SSH сървъри, за разлика от по-типичното изпълнение на Mirai за насочване към Telnet сървъри.

Според доклада RapperBot бързо разраства своите поробени SSH сървъри с над 3500 уникални IP адреса, които сканират интернет и си проправят път към нови жертви. RapperBot също така изглежда е изоставил своите подобни на Mira техники за саморазмножаване в полза на по-базирани на постоянство методи. В резултат на това заплахата може да остане в заразената система дори след рестартиране или опит за премахване от страна на жертвите.

Достъпът до пробитите сървъри се постига чрез добавяне на SSH публичен ключ на оператора. Ключът се инжектира в конкретен файл, наречен „~/.ssh/authorized_keys“. След това участниците в заплахата ще могат свободно да се свързват със сървъра и да се удостоверяват, като използват само съответния частен ключ, без да е необходимо да предоставят парола. Тази техника ще поддържа достъп до сървъра, дори ако SSH идентификационните данни са актуализирани или удостоверяването на SSH парола е деактивирано. В допълнение, чрез замяната на легитимния файл, киберпрестъпниците са изтрили всички съществуващи в момента разрешени ключове, предотвратявайки успешен достъп на легитимни потребители до компрометирания SSH сървър чрез удостоверяване с публичен ключ.

Целите на операторите на RapperBot Malware остават неясни. Например, участниците в заплахата премахват DDoS (Distributed Denial-of-Service) възможностите на заплахата изцяло, само за да въведат отново последната в ограничена форма.

Тенденция

Най-гледан

Зареждане...