Вредоносное ПО RapperBot

Исследователи Infosec выявили опасную вредоносную программу IoT (Интернет вещей), отслеживаемую как RapperBot. Анализ угрозы показал, что ее создатели активно использовали исходный код печально известного ботнета Mirai . Угроза Mirai использовалась в нескольких громких атаках, прежде чем ее исходный код стал известен общественности в октябре 2016 года. С тех пор исследователи кибербезопасности выявили более 60 вариантов ботнетов и вредоносных программ, использующих Mirai в качестве основы. Однако когда дело доходит до RapperBot, угроза демонстрирует несколько серьезных отклонений от типичного поведения Mirai.

Подробности о RapperBot были недавно опубликованы в отчете исследователей безопасности. Согласно их выводам, угроза активна с июня 2022 года и быстро развивается. Угроза ботнета использует тактику грубой силы, чтобы закрепиться на серверах Linux SSH, в отличие от более типичной реализации Mirai для атаки на серверы Telnet.

Согласно отчету, RapperBot быстро наращивает свои порабощенные SSH-серверы с более чем 3500 уникальными IP-адресами, сканирующими Интернет и пробивающими путь к новым жертвам. RapperBot также, похоже, отказался от своих методов самораспространения, подобных Mira, в пользу методов, основанных на постоянстве. В результате угроза может оставаться в зараженной системе даже после перезагрузки или попытки удаления жертвами.

Доступ к взломанным серверам осуществляется путем добавления открытого ключа SSH оператора. Ключ вводится в специальный файл с именем «~/.ssh/authorized_keys». После этого злоумышленники смогут свободно подключаться к серверу и аутентифицироваться, используя только соответствующий закрытый ключ без необходимости предоставления пароля. Этот метод сохранит доступ к серверу, даже если учетные данные SSH обновлены или аутентификация по паролю SSH отключена. Кроме того, заменив законный файл, киберпреступники удалили все существующие в настоящее время авторизованные ключи, не позволяя законным пользователям успешно получить доступ к скомпрометированному SSH-серверу с помощью аутентификации с открытым ключом.

Цели операторов RapperBot Malware остаются туманными. Например, злоумышленники полностью удаляют возможности DDoS (распределенный отказ в обслуживании) угрозы, просто чтобы повторно ввести последние в ограниченной форме.