Threat Database Malware RapperBot zlonamjerni softver

RapperBot zlonamjerni softver

Istraživači tvrtke Infosec identificirali su opasan IoT (Internet of Things) malware, praćen kao RapperBot. Analiza prijetnje otkrila je da su njezini tvorci obilno koristili izvorni kod zloglasnog Mirai Botneta . Prijetnja Mirai korištena je u nekoliko napada visokog profila prije nego što je njezin izvorni kod procurio u javnost u listopadu 2016. Od tada su istraživači kibernetičke sigurnosti identificirali više od 60 varijanti botneta i zlonamjernog softvera koristeći Mirai kao osnovu. Međutim, kada je u pitanju RapperBot, prijetnja pokazuje nekoliko velikih odstupanja od tipičnog Mirai ponašanja.

Pojedinosti o RapperBotu nedavno su objavili sigurnosni istraživači. Prema njihovim nalazima, prijetnja je aktivna od lipnja 2022. godine i brzo se razvija. Prijetnja botneta koristi taktiku brutalne sile kako bi stekla uporište na Linux SSH poslužiteljima, za razliku od tipičnije Mirai implementacije ciljanja Telnet poslužitelja.

Prema izvješću, RapperBot ubrzano razvija svoje podređene SSH poslužitelje s više od 3500 jedinstvenih IP adresa koje skeniraju Internet i brutalno ulaze u nove žrtve. Također se čini da je RapperBot napustio svoje tehnike samopropagacije slične Miri u korist metoda koje se više temelje na postojanosti. Kao rezultat toga, prijetnja može ostati na zaraženom sustavu čak i nakon ponovnog pokretanja ili pokušaja uklanjanja od strane žrtve.

Pristup oštećenim poslužiteljima postiže se dodavanjem operaterovog SSH javnog ključa. Ključ se ubacuje u određenu datoteku pod nazivom '~/.ssh/authorized_keys.' Nakon toga, akteri prijetnji moći će se slobodno povezati s poslužiteljem i autentificirati koristeći samo odgovarajući privatni ključ bez potrebe davanja lozinke. Ova tehnika će zadržati pristup poslužitelju čak i ako su SSH vjerodajnice ažurirane ili je provjera autentičnosti SSH lozinke onemogućena. Osim toga, zamjenom legitimne datoteke kibernetički kriminalci su izbrisali sve trenutno postojeće autorizirane ključeve, sprječavajući legitimne korisnike da uspješno pristupe kompromitiranom SSH poslužitelju putem provjere autentičnosti s javnim ključem.

Ciljevi operatera RapperBot Malware-a ostaju nejasni. Na primjer, akteri prijetnje potpuno uklanjaju DDoS (Distributed Denial-of-Service) mogućnosti prijetnje, samo da bi ponovno uveli potonju, u ograničenom obliku.

U trendu

Nagledanije

Učitavam...