RapperBot Malware

Инфосец истраживачи су идентификовали опасан ИоТ (Интернет оф Тхингс) малвер, праћен као РапперБот. Анализа претње је открила да су њени креатори у великој мери користили изворни код злогласног Мираи Ботнета . Претња Мираи је коришћена у неколико напада високог профила пре него што је њен изворни код процурио у јавност у октобру 2016. Од тада су истраживачи сајбер безбедности идентификовали преко 60 варијанти ботнета и малвера користећи Мираи као основу. Међутим, када је у питању РапперБот, претња показује неколико великих одступања од типичног понашања Мираија.

Детаљи о РапперБоту недавно су објављени у извештају истраживача безбедности. Према њиховим налазима, претња је активна од јуна 2022. године и брзо се развија. Претња ботнет-а користи тактику грубе силе да би стекла упориште на Линук ССХ серверима, за разлику од типичније Мираи имплементације циљања Телнет сервера.

Према извештају, РапперБот убрзано развија своје поробљене ССХ сервере са преко 3.500 јединствених ИП адреса које скенирају Интернет и пробијају се у нове жртве. Чини се да је РапперБот такође оставио иза себе своје технике самопропагације сличне Мири у корист метода које су више засноване на упорности. Као резултат, претња може остати на зараженом систему чак и након поновног покретања или покушаја уклањања од стране жртава.

Приступ пробијеним серверима се постиже додавањем ССХ јавног кључа оператера. Кључ се убацује у одређену датотеку под називом '~/.ссх/аутхоризед_кеис.' Након тога, актери претњи ће моћи слободно да се повежу са сервером и аутентификују користећи само одговарајући приватни кључ без потребе за уносом лозинке. Ова техника ће задржати приступ серверу чак и ако су ССХ акредитиви ажурирани или је аутентификација ССХ лозинке онемогућена. Поред тога, заменом легитимне датотеке, сајбер криминалци су избрисали све тренутно постојеће ауторизоване кључеве, спречавајући легитимне кориснике да успешно приступе компромитованом ССХ серверу путем аутентификације јавног кључа.

Циљеви оператера РапперБот Малваре-а остају нејасни. На пример, актери претње у потпуности уклањају ДДоС (Дистрибутед Дениал-оф-Сервице) могућности претње, само да би поново увели ову другу, у ограниченом облику.