RapperBot Malware
इन्फोसेक के शोधकर्ताओं ने एक खतरनाक IoT (इंटरनेट ऑफ थिंग्स) मैलवेयर की पहचान की है, जिसे रैपरबॉट के रूप में ट्रैक किया गया है। खतरे के विश्लेषण से पता चला है कि इसके रचनाकारों ने कुख्यात Mirai बॉटनेट के सोर्स कोड का जमकर इस्तेमाल किया है। अक्टूबर 2016 में इसके स्रोत कोड के सार्वजनिक होने से पहले कई हाई-प्रोफाइल हमलों में मिराई खतरे का इस्तेमाल किया गया था। तब से साइबर सुरक्षा शोधकर्ताओं ने मिराई का उपयोग करके 60 से अधिक बॉटनेट और मैलवेयर वेरिएंट की पहचान की है। हालाँकि, जब रैपरबॉट की बात आती है, तो खतरा विशिष्ट मिराई व्यवहार से कई प्रमुख प्रस्थान प्रदर्शित करता है।
हाल ही में सुरक्षा शोधकर्ताओं की एक रिपोर्ट में रैपरबॉट के बारे में विवरण जारी किया गया था। उनके निष्कर्षों के अनुसार, खतरा जून 2022 से सक्रिय है और तेजी से विकास के दौर से गुजर रहा है। टेलनेट सर्वरों को लक्षित करने के अधिक विशिष्ट मिराई कार्यान्वयन के विपरीत, बॉटनेट खतरा लिनक्स एसएसएच सर्वर पर पैर जमाने के लिए क्रूर-बल रणनीति का उपयोग करता है।
रिपोर्ट के अनुसार, RapperBot 3,500 से अधिक अद्वितीय IP पतों के साथ अपने गुलाम SSH सर्वर को तेजी से बढ़ा रहा है जो इंटरनेट को स्कैन कर रहा है और नए पीड़ितों में अपना रास्ता बना रहा है। ऐसा प्रतीत होता है कि रैपरबॉट ने अधिक दृढ़ता-आधारित विधियों के पक्ष में अपनी मीरा जैसी स्व-प्रचार तकनीकों को पीछे छोड़ दिया है। परिणामस्वरूप, रीबूट या पीड़ितों द्वारा हटाने के प्रयास के बाद भी संक्रमित सिस्टम पर खतरा बना रह सकता है।
भंग किए गए सर्वर तक पहुंच ऑपरेटरों की एसएसएच सार्वजनिक कुंजी के अतिरिक्त के माध्यम से प्राप्त की जाती है। कुंजी को '~/.ssh/authorized_keys' नामक एक विशिष्ट फ़ाइल में अंतःक्षिप्त किया जाता है। बाद में, खतरा अभिनेता सर्वर से स्वतंत्र रूप से कनेक्ट करने में सक्षम होंगे और पासवर्ड प्रदान करने की आवश्यकता के बिना केवल संबंधित निजी कुंजी का उपयोग करके प्रमाणित कर सकेंगे। यह तकनीक सर्वर तक पहुंच बनाए रखेगी, भले ही SSH क्रेडेंशियल अपडेट किए गए हों या SSH पासवर्ड प्रमाणीकरण अक्षम हो। इसके अलावा, वैध फ़ाइल को बदलकर, साइबर अपराधियों ने वर्तमान में मौजूद सभी अधिकृत कुंजियों को हटा दिया है, वैध उपयोगकर्ताओं को सार्वजनिक कुंजी प्रमाणीकरण के माध्यम से समझौता किए गए SSH सर्वर तक सफलतापूर्वक पहुंचने से रोक दिया है।
RapperBot मालवेयर के ऑपरेटरों के लक्ष्य अस्पष्ट रहते हैं। उदाहरण के लिए, थ्रेट ऐक्टर्स खतरे की DDoS (डिस्ट्रिब्यूटेड डेनियल-ऑफ-सर्विस) क्षमताओं को पूरी तरह से हटा देते हैं, केवल बाद वाले को सीमित रूप में पुन: प्रस्तुत करने के लिए।
