RapperBot-malware
Infosec-onderzoekers hebben een gevaarlijke IoT-malware (Internet of Things) geïdentificeerd, gevolgd als RapperBot. Analyse van de dreiging heeft aangetoond dat de makers de broncode van het beruchte Mirai Botnet intensief hebben gebruikt. De Mirai-dreiging werd gebruikt bij verschillende spraakmakende aanvallen voordat de broncode in oktober 2016 naar het publiek werd gelekt. Sindsdien hebben cyberbeveiligingsonderzoekers meer dan 60 botnet- en malwarevarianten geïdentificeerd die Mirai als basis gebruiken. Als het echter om RapperBot gaat, vertoont de dreiging verschillende belangrijke afwijkingen van het typische Mirai-gedrag.
Details over RapperBot zijn onlangs vrijgegeven in een rapport van beveiligingsonderzoekers. Volgens hun bevindingen is de dreiging actief sinds juni 2022 en ondergaat het een snelle ontwikkeling. De botnet-dreiging maakt gebruik van brute-force-tactieken om voet aan de grond te krijgen op Linux SSH-servers, in tegenstelling tot de meer typische Mirai-implementatie van Telnet-servers.
Volgens het rapport breidt RapperBot zijn tot slaaf gemaakte SSH-servers snel uit met meer dan 3.500 unieke IP-adressen die het internet scannen en zich met brute kracht een weg banen naar nieuwe slachtoffers. RapperBot lijkt ook zijn Mira-achtige zelfvoortplantingstechnieken achter zich te hebben gelaten ten gunste van meer op persistentie gebaseerde methoden. Als gevolg hiervan kan de dreiging op het geïnfecteerde systeem blijven, zelfs na een herstart of een poging tot verwijdering door de slachtoffers.
Toegang tot de gehackte servers wordt bereikt door de toevoeging van de openbare SSH-sleutel van de operators. De sleutel wordt geïnjecteerd in een specifiek bestand met de naam '~/.ssh/authorized_keys.' Daarna kunnen de dreigingactoren vrijelijk verbinding maken met de server en authenticeren met alleen de bijbehorende privésleutel zonder dat ze een wachtwoord hoeven te verstrekken. Met deze techniek blijft de toegang tot de server behouden, zelfs als SSH-inloggegevens worden bijgewerkt of als de SSH-wachtwoordverificatie is uitgeschakeld. Door het legitieme bestand te vervangen, hebben de cybercriminelen bovendien alle bestaande geautoriseerde sleutels verwijderd, waardoor legitieme gebruikers geen toegang krijgen tot de gecompromitteerde SSH-server via openbare-sleutelauthenticatie.
De doelen van de operators van RapperBot Malware blijven vaag. De dreigingsactoren verwijderen bijvoorbeeld de DDoS-mogelijkheden (Distributed Denial-of-Service) van de dreiging volledig, alleen om de laatste in beperkte vorm opnieuw te introduceren.
