Threat Database Malware RapperBot skadelig programvare

RapperBot skadelig programvare

Infosec-forskere har identifisert en farlig IoT (Internet of Things) malware, sporet som RapperBot. Analyse av trusselen har avslørt at skaperne har brukt kildekoden til det beryktede Mirai Botnet tungt. Mirai-trusselen ble brukt i flere høyprofilerte angrep før kildekoden ble lekket til offentligheten i oktober 2016. Siden den gang har cybersikkerhetsforskere identifisert over 60 botnett- og skadevarevarianter med Mirai som grunnlag. Men når det kommer til RapperBot, viser trusselen flere store avvik fra den typiske Mirai-oppførselen.

Detaljer om RapperBot ble utgitt i en rapport fra sikkerhetsforskere nylig. Ifølge funnene deres har trusselen vært aktiv siden juni 2022 og er i rask utvikling. Botnett-trusselen bruker brute-force-taktikker for å få fotfeste på Linux SSH-servere, i motsetning til den mer typiske Mirai-implementeringen av målretting mot Telnet-servere.

I følge rapporten vokser RapperBot raskt sine slavebundne SSH-servere med over 3500 unike IP-adresser som skanner Internett og tvinger seg inn i nye ofre. RapperBot ser også ut til å ha lagt bak seg sine Mira-lignende selvforplantningsteknikker til fordel for mer utholdenhetsbaserte metoder. Som et resultat kan trusselen forbli på det infiserte systemet selv etter en omstart eller et forsøk på fjerning av ofrene.

Tilgang til de brutte serverne oppnås ved å legge til operatørenes offentlige SSH-nøkkel. Nøkkelen injiseres i en spesifikk fil kalt '~/.ssh/authorized_keys.' Etterpå vil trusselaktørene kunne koble seg fritt til serveren og autentisere ved å bruke bare den tilsvarende private nøkkelen uten å måtte oppgi et passord. Denne teknikken vil opprettholde tilgangen til serveren selv om SSH-legitimasjonen oppdateres eller SSH-passordautentiseringen er deaktivert. I tillegg, ved å erstatte den legitime filen, har nettkriminelle slettet alle eksisterende autoriserte nøkler, og forhindret legitime brukere i å få tilgang til den kompromitterte SSH-serveren via offentlig nøkkelautentisering.

Målene til RapperBot Malwares operatører er fortsatt uklare. For eksempel fjerner trusselaktørene DDoS-funksjonene (Distributed Denial-of-Service) til trusselen fullstendig, bare for å gjeninnføre sistnevnte, i en begrenset form.

Trender

Mest sett

Laster inn...