Threat Database Malware RapperBot תוכנה זדונית

RapperBot תוכנה זדונית

חוקרי Infosec זיהו תוכנה זדונית מסוכנת של IoT (Internet of Things), המלווה כ-RapperBot. ניתוח האיום גילה כי יוצריו השתמשו רבות בקוד המקור של Mirai Botnet הידוע לשמצה. האיום של מיראי שימש במספר התקפות בפרופיל גבוה לפני שקוד המקור שלו הודלף לציבור באוקטובר 2016. מאז חוקרי אבטחת סייבר זיהו למעלה מ-60 גרסאות בוטנט ותוכנות זדוניות המשתמשות במיראי כבסיס. עם זאת, כשזה מגיע ל-RapperBot, האיום מציג מספר חריגות עיקריות מההתנהגות האופיינית של Mirai.

פרטים על RapperBot פורסמו בדו"ח של חוקרי אבטחה לאחרונה. לפי ממצאיהם, האיום פעיל מאז יוני 2022 ועובר התפתחות מהירה. איום הבוטנט משתמש בטקטיקות של כוח גס כדי להשיג דריסת רגל בשרתי Linux SSH, בניגוד למימוש הטיפוסי יותר של Mirai של מיקוד לשרתי Telnet.

על פי הדיווח, RapperBot מגדילה במהירות את שרתי ה-SSH המשועבדים שלה עם למעלה מ-3,500 כתובות IP ייחודיות הסורקות את האינטרנט ופורצות את דרכן לקורבנות חדשים. נראה ש-RapperBot גם השאיר מאחור את טכניקות ההפצה העצמית דמויי Mira לטובת שיטות יותר מבוססות התמדה. כתוצאה מכך, האיום יכול להישאר על המערכת הנגועה גם לאחר אתחול מחדש או ניסיון הסרה על ידי הקורבנות.

גישה לשרתים הפרו מושגת באמצעות הוספת מפתח SSH ציבורי של המפעילים. המפתח מוזרק לקובץ ספציפי בשם '~/.ssh/authorized_keys'. לאחר מכן, גורמי האיום יוכלו להתחבר באופן חופשי לשרת ולאמת באמצעות המפתח הפרטי המתאים בלבד ללא צורך במתן סיסמה. טכניקה זו תשמור על גישה לשרת גם אם אישורי SSH מעודכנים או אימות סיסמת SSH מושבת. בנוסף, על ידי החלפת הקובץ הלגיטימי, פושעי הסייבר מחקו את כל המפתחות המורשים הקיימים כיום, מה שמנע ממשתמשים לגיטימיים לגשת בהצלחה לשרת ה-SSH שנפרץ באמצעות אימות מפתח ציבורי.

המטרות של המפעילים של RapperBot Malware נותרו מעורפלים. לדוגמה, שחקני האיום מסירים את יכולות ה-DDoS (Distributed Denial-of-Service) של האיום לחלוטין, רק כדי להכניס מחדש את האחרון, בצורה מוגבלת.

מגמות

הכי נצפה

טוען...