Threat Database Malware Złośliwe oprogramowanie RapperBot

Złośliwe oprogramowanie RapperBot

Badacze Infosec zidentyfikowali niebezpieczne szkodliwe oprogramowanie IoT (Internet of Things), śledzone jako RapperBot. Analiza zagrożenia wykazała, że jego twórcy intensywnie wykorzystywali kod źródłowy niesławnego botnetu Mirai . Zagrożenie Mirai zostało wykorzystane w kilku głośnych atakach, zanim jego kod źródłowy został ujawniony publicznie w październiku 2016 r. Od tego czasu analitycy cyberbezpieczeństwa zidentyfikowali ponad 60 wariantów botnetów i złośliwego oprogramowania wykorzystujących Mirai jako podstawę. Jednak jeśli chodzi o RapperBota, zagrożenie wykazuje kilka poważnych odstępstw od typowego zachowania Mirai.

Szczegóły dotyczące RapperBota zostały niedawno opublikowane w raporcie badaczy bezpieczeństwa. Według ich ustaleń zagrożenie jest aktywne od czerwca 2022 r. i szybko się rozwija. Zagrożenie botnetowe wykorzystuje taktykę brute-force, aby zdobyć przyczółek na serwerach Linux SSH, w przeciwieństwie do bardziej typowej implementacji Mirai polegającej na atakowaniu serwerów Telnet.

Według raportu RapperBot szybko rozwija swoje zniewolone serwery SSH z ponad 3500 unikalnymi adresami IP skanującymi Internet i brutalnie wdzierającymi się w nowe ofiary. Wydaje się również, że RapperBot zrezygnował z technik samopropagacji podobnych do Mira na rzecz metod bardziej opartych na trwałości. W rezultacie zagrożenie może pozostać w zainfekowanym systemie nawet po ponownym uruchomieniu lub próbie usunięcia przez ofiary.

Dostęp do naruszonych serwerów uzyskuje się poprzez dodanie klucza publicznego SSH operatora. Klucz jest wstrzykiwany do określonego pliku o nazwie „~/.ssh/authorized_keys”. Następnie cyberprzestępcy będą mogli swobodnie łączyć się z serwerem i uwierzytelniać się przy użyciu tylko odpowiedniego klucza prywatnego bez konieczności podawania hasła. Ta technika utrzyma dostęp do serwera, nawet jeśli poświadczenia SSH zostaną zaktualizowane lub uwierzytelnianie hasła SSH jest wyłączone. Ponadto, zastępując legalny plik, cyberprzestępcy usunęli wszystkie istniejące obecnie autoryzowane klucze, uniemożliwiając legalnym użytkownikom pomyślny dostęp do zaatakowanego serwera SSH za pośrednictwem uwierzytelniania klucza publicznego.

Cele operatorów RapperBot Malware pozostają niejasne. Na przykład cyberprzestępcy całkowicie usuwają możliwości DDoS (Distributed Denial-of-Service) zagrożenia, tylko po to, by ponownie wprowadzić je w ograniczonej formie.

Popularne

Najczęściej oglądane

Ładowanie...