RapperBot Malware

Infosec 연구원은 RapperBot으로 추적되는 위험한 IoT(사물 인터넷) 멀웨어를 식별했습니다. 위협을 분석한 결과 제작자가 악명 높은 Mirai Botnet 의 소스 코드를 많이 사용한 것으로 나타났습니다. Mirai 위협은 2016년 10월 소스 코드가 대중에게 유출되기 전에 여러 세간의 이목을 끄는 공격에 사용되었습니다. 그 이후로 사이버 보안 연구원들은 Mirai를 기반으로 하는 60개 이상의 봇넷 및 멀웨어 변종을 식별했습니다. 그러나 RapperBot의 경우 위협은 일반적인 Mirai 동작에서 몇 가지 주요 출발점을 보여줍니다.

RapperBot에 대한 세부 정보는 최근 보안 연구원의 보고서에서 발표되었습니다. 그들의 연구 결과에 따르면 위협은 2022년 6월부터 활성화되었으며 급속하게 발전하고 있습니다. 봇넷 위협은 무차별 대입 전술을 사용하여 텔넷 서버를 대상으로 하는 일반적인 Mirai 구현과 달리 Linux SSH 서버에 발판을 마련합니다.

보고서에 따르면 RapperBot은 3,500개 이상의 고유한 IP 주소를 사용하여 종속 SSH 서버를 빠르게 성장시키고 있습니다. RapperBot은 또한 지속성 기반 방법을 선호하기 위해 Mira와 같은 자체 전파 기술을 버린 것으로 보입니다. 결과적으로 피해자가 재부팅하거나 제거를 시도한 후에도 위협은 감염된 시스템에 남아 있을 수 있습니다.

침해된 서버에 대한 액세스는 운영자의 SSH 공개 키를 추가하여 이루어집니다. 키는 '~/.ssh/authorized_keys'라는 특정 파일에 주입됩니다. 이후 위협 행위자는 서버에 자유롭게 접속하여 비밀번호를 제공할 필요 없이 해당 개인 키만 사용하여 인증할 수 있습니다. 이 기술은 SSH 자격 증명이 업데이트되거나 SSH 암호 인증이 비활성화된 경우에도 서버에 대한 액세스를 유지합니다. 또한 사이버 범죄자는 합법적인 파일을 교체하여 현재 존재하는 모든 인증 키를 삭제하여 합법적인 사용자가 공개 키 인증을 통해 손상된 SSH 서버에 성공적으로 액세스하는 것을 방지합니다.

RapperBot Malware 운영자의 목표는 여전히 모호합니다. 예를 들어, 위협 행위자는 위협의 DDoS(분산 서비스 거부) 기능을 완전히 제거하여 제한된 형태로 후자를 재도입합니다.