Threat Database Malware RapperBot Malware

RapperBot Malware

Az Infosec kutatói egy veszélyes IoT (Internet of Things) kártevőt azonosítottak, amelyet RapperBot néven követnek. A fenyegetés elemzése során kiderült, hogy készítői erősen használták a hírhedt Mirai Botnet forráskódját. A Mirai fenyegetést számos nagy horderejű támadásban használták, mielőtt forráskódja 2016 októberében nyilvánosságra került. Azóta a kiberbiztonsági kutatók több mint 60 botnet- és rosszindulatú programváltozatot azonosítottak a Mirai alapján. Ha azonban a RapperBotról van szó, a fenyegetés számos jelentős eltérést mutat a tipikus Mirai viselkedéstől.

A RapperBotról szóló részleteket a biztonsági kutatók nemrégiben közölték. Megállapításaik szerint a fenyegetés 2022 júniusa óta aktív, és rohamosan fejlődik. A botnet fenyegetés brute-force taktikát alkalmaz, hogy megvehesse a lábát a Linux SSH-kiszolgálókon, ellentétben a Telnet-kiszolgálókat célzó, tipikusabb Mirai-megvalósítással.

A jelentés szerint a RapperBot gyorsan fejleszti rabszolgasorba helyezett SSH-szervereit, több mint 3500 egyedi IP-címmel, amelyek átvizsgálják az internetet, és brutálisan rákényszerítik magukat az új áldozatokra. A RapperBot a jelek szerint maga mögött hagyta Mira-szerű önszaporítási technikáit a kitartáson alapuló módszerek javára. Ennek eredményeként a fenyegetés a fertőzött rendszeren maradhat még az újraindítás vagy az áldozatok általi eltávolítási kísérlet után is.

A feltört szerverekhez való hozzáférés a szolgáltatók nyilvános SSH kulcsának hozzáadásával érhető el. A kulcs egy adott fájlba, a következő néven: '~/.ssh/authorized_keys' kerül befecskendezésre. Ezt követően a fenyegetés szereplői szabadon csatlakozhatnak a szerverhez, és csak a megfelelő privát kulccsal hitelesíthetik magukat, jelszó megadása nélkül. Ez a technika akkor is fenntartja a hozzáférést a kiszolgálóhoz, ha az SSH-hitelesítési adatokat frissítik, vagy az SSH-jelszavas hitelesítést letiltják. Ezenkívül a legális fájl lecserélésével a kiberbűnözők törölték az összes jelenleg létező engedélyezett kulcsot, megakadályozva, hogy a legitim felhasználók nyilvános kulcsú hitelesítéssel sikeresen hozzáférjenek a feltört SSH-kiszolgálóhoz.

A RapperBot Malware üzemeltetőinek céljai továbbra is homályosak. Például a fenyegetés szereplői teljesen eltávolítják a fenyegetés DDoS (Distributed Denial-of-Service) képességeit, csak azért, hogy az utóbbit korlátozott formában újra bevezessék.

Felkapott

Legnézettebb

Betöltés...