RapperBot Malware

I ricercatori di Infosec hanno identificato un pericoloso malware IoT (Internet of Things), identificato come RapperBot. L'analisi della minaccia ha rivelato che i suoi creatori hanno utilizzato pesantemente il codice sorgente della famigerata Mirai Botnet . La minaccia Mirai è stata utilizzata in diversi attacchi di alto profilo prima che il suo codice sorgente fosse divulgato al pubblico nell'ottobre 2016. Da allora i ricercatori di sicurezza informatica hanno identificato oltre 60 varianti di botnet e malware utilizzando Mirai come base. Tuttavia, quando si tratta di RapperBot, la minaccia mostra diversi importanti scostamenti dal tipico comportamento di Mirai.

I dettagli su RapperBot sono stati rilasciati di recente in un rapporto di ricercatori di sicurezza. Secondo i loro risultati, la minaccia è attiva da giugno 2022 e sta subendo un rapido sviluppo. La minaccia botnet utilizza tattiche di forza bruta per prendere piede sui server SSH Linux, a differenza della più tipica implementazione Mirai di prendere di mira i server Telnet.

Secondo il rapporto, RapperBot sta rapidamente facendo crescere i suoi server SSH schiavizzati con oltre 3.500 indirizzi IP univoci che scansionano Internet e si fanno strada con la forza bruta verso nuove vittime. RapperBot sembra anche aver lasciato le sue tecniche di auto-propagazione simili a Mira a favore di metodi più basati sulla persistenza. Di conseguenza, la minaccia può rimanere sul sistema infetto anche dopo un riavvio o un tentativo di rimozione da parte delle vittime.

L'accesso ai server violati avviene tramite l'aggiunta della chiave pubblica SSH degli operatori. La chiave viene iniettata in un file specifico chiamato '~/.ssh/authorized_keys.' Successivamente, gli attori delle minacce potranno connettersi liberamente al server e autenticarsi utilizzando solo la chiave privata corrispondente senza la necessità di fornire una password. Questa tecnica manterrà l'accesso al server anche se le credenziali SSH vengono aggiornate o l'autenticazione della password SSH è disabilitata. Inoltre, sostituendo il file legittimo, i criminali informatici hanno eliminato tutte le chiavi autorizzate attualmente esistenti, impedendo agli utenti legittimi di accedere con successo al server SSH compromesso tramite l'autenticazione con chiave pubblica.

Gli obiettivi degli operatori di RapperBot Malware rimangono nebulosi. Ad esempio, gli attori della minaccia rimuovono completamente le funzionalità DDoS (Distributed Denial-of-Service) della minaccia, solo per reintrodurre quest'ultima, in forma limitata.