RapperBot Malware

Penyelidik Infosec telah mengenal pasti perisian hasad IoT (Internet of Things) berbahaya, yang dijejaki sebagai RapperBot. Analisis ancaman itu telah mendedahkan bahawa penciptanya telah menggunakan kod sumber Mirai Botnet yang terkenal itu. Ancaman Mirai digunakan dalam beberapa serangan berprofil tinggi sebelum kod sumbernya dibocorkan kepada umum pada Oktober 2016. Sejak itu penyelidik keselamatan siber telah mengenal pasti lebih 60 varian botnet dan perisian hasad menggunakan Mirai sebagai asas. Walau bagaimanapun, apabila ia datang kepada RapperBot, ancaman itu memaparkan beberapa penyimpangan utama daripada tingkah laku Mirai biasa.

Butiran mengenai RapperBot telah dikeluarkan dalam laporan oleh penyelidik keselamatan baru-baru ini. Menurut penemuan mereka, ancaman itu telah aktif sejak Jun 2022 dan sedang mengalami perkembangan pesat. Ancaman botnet menggunakan taktik kekerasan untuk mendapatkan kedudukan pada pelayan SSH Linux, tidak seperti pelaksanaan Mirai yang lebih tipikal untuk menyasarkan pelayan Telnet.

Menurut laporan itu, RapperBot sedang pesat mengembangkan pelayan SSH yang diperhambakan dengan lebih 3,500 alamat IP unik mengimbas Internet dan memaksa mereka masuk ke mangsa baharu. RapperBot juga nampaknya telah meninggalkan teknik penyebaran diri seperti Mira yang memihak kepada kaedah yang lebih berasaskan kegigihan. Akibatnya, ancaman boleh kekal pada sistem yang dijangkiti walaupun selepas but semula atau percubaan mengalih keluar oleh mangsa.

Akses kepada pelayan yang dilanggar dicapai melalui penambahan kunci awam SSH pengendali. Kunci disuntik ke dalam fail tertentu yang dipanggil '~/.ssh/authorized_keys.' Selepas itu, pelaku ancaman akan dapat menyambung secara bebas ke pelayan dan mengesahkan hanya menggunakan kunci peribadi yang sepadan tanpa perlu memberikan kata laluan. Teknik ini akan mengekalkan akses kepada pelayan walaupun bukti kelayakan SSH dikemas kini atau pengesahan kata laluan SSH dilumpuhkan. Di samping itu, dengan menggantikan fail yang sah, penjenayah siber telah memadamkan semua kunci dibenarkan sedia ada, menghalang pengguna yang sah daripada berjaya mengakses pelayan SSH yang terjejas melalui pengesahan kunci awam.

Matlamat pengendali RapperBot Malware kekal samar-samar. Sebagai contoh, pelaku ancaman mengalih keluar keupayaan DDoS (Distributed Denial-of-Service) ancaman sepenuhnya, hanya untuk memperkenalkan semula yang terakhir, dalam bentuk terhad.