RapperBot Malware

Infosec-forskere har identificeret en farlig IoT (Internet of Things) malware, sporet som RapperBot. Analyse af truslen har afsløret, at dens skabere har brugt kildekoden til det berygtede Mirai Botnet kraftigt. Mirai-truslen blev brugt i adskillige højprofilerede angreb, før dens kildekode blev lækket til offentligheden i oktober 2016. Siden da har cybersikkerhedsforskere identificeret over 60 botnet- og malware-varianter med Mirai som grundlag. Men når det kommer til RapperBot, viser truslen flere store afvigelser fra den typiske Mirai-adfærd.

Detaljer om RapperBot blev offentliggjort i en rapport fra sikkerhedsforskere for nylig. Ifølge deres resultater har truslen været aktiv siden juni 2022 og er under hastig udvikling. Botnet-truslen bruger brute-force-taktikker til at få fodfæste på Linux SSH-servere, i modsætning til den mere typiske Mirai-implementering af målretning mod Telnet-servere.

Ifølge rapporten vokser RapperBot hurtigt sine slavegjorte SSH-servere med over 3.500 unikke IP-adresser, der scanner internettet og trænger sig ind i nye ofre. RapperBot ser også ud til at have efterladt sine Mira-lignende selvudbredelsesteknikker til fordel for mere persistensbaserede metoder. Som et resultat kan truslen forblive på det inficerede system, selv efter en genstart eller et forsøg på fjernelse af ofrene.

Adgang til de brudte servere opnås via tilføjelsen af operatørernes offentlige SSH-nøgle. Nøglen injiceres i en specifik fil kaldet '~/.ssh/authorized_keys.' Bagefter vil trusselsaktørerne frit kunne oprette forbindelse til serveren og autentificere ved hjælp af kun den tilsvarende private nøgle uden behov for at angive en adgangskode. Denne teknik vil bevare adgangen til serveren, selvom SSH-legitimationsoplysningerne opdateres, eller SSH-adgangskodegodkendelsen er deaktiveret. Derudover har cyberkriminelle ved at erstatte den legitime fil slettet alle aktuelt eksisterende autoriserede nøgler, hvilket forhindrer legitime brugere i at få adgang til den kompromitterede SSH-server via offentlig nøglegodkendelse.

Målene for RapperBot Malwares operatører er stadig uklare. For eksempel fjerner trusselsaktørerne DDoS (Distributed Denial-of-Service)-kapaciteterne af truslen fuldstændigt, blot for at genindføre sidstnævnte i en begrænset form.