RapperBot Malware
Natukoy ng mga mananaliksik ng Infosec ang isang mapanganib na IoT (Internet of Things) malware, na sinusubaybayan bilang RapperBot. Ang pagsusuri sa banta ay nagsiwalat na ang mga tagalikha nito ay ginamit nang husto ang source code ng kasumpa-sumpa na Mirai Botnet . Ang banta ng Mirai ay ginamit sa ilang mga high-profile na pag-atake bago ang source code nito ay na-leak sa publiko noong Oktubre 2016. Simula noon, natukoy ng mga mananaliksik sa cybersecurity ang mahigit 60 botnet at mga variant ng malware gamit ang Mirai bilang batayan. Gayunpaman, pagdating sa RapperBot, ang banta ay nagpapakita ng ilang pangunahing pag-alis mula sa karaniwang pag-uugali ng Mirai.
Ang mga detalye tungkol sa RapperBot ay inilabas sa isang ulat ng mga mananaliksik sa seguridad kamakailan. Ayon sa kanilang mga natuklasan, ang banta ay aktibo mula noong Hunyo 2022 at sumasailalim sa mabilis na pag-unlad. Gumagamit ang banta ng botnet ng mga taktika ng malupit na puwersa upang makakuha ng saligan sa mga server ng Linux SSH, hindi katulad ng mas karaniwang pagpapatupad ng Mirai ng pag-target sa mga server ng Telnet.
Ayon sa ulat, ang RapperBot ay mabilis na nagpapalaki ng mga inaalipin nitong SSH server na may higit sa 3,500 natatanging IP address na nag-scan sa Internet at malupit na pinipilit ang kanilang paraan sa mga bagong biktima. Mukhang naiwan din ng RapperBot ang mga diskarte sa pagpapalaganap ng sarili nitong parang Mira na pabor sa higit pang mga pamamaraang batay sa pagtitiyaga. Bilang resulta, ang banta ay maaaring manatili sa nahawaang sistema kahit na pagkatapos ng pag-reboot o pagtatangkang alisin ng mga biktima.
Ang access sa mga nalabag na server ay nakakamit sa pamamagitan ng pagdaragdag ng SSH public key ng mga operator. Ang susi ay ini-inject sa isang partikular na file na tinatawag na '~/.ssh/authorized_keys.' Pagkatapos, ang mga banta ng aktor ay malayang makakakonekta sa server at magpapatotoo gamit lamang ang kaukulang pribadong key nang hindi kinakailangang magbigay ng password. Ang diskarteng ito ay magpapanatili ng access sa server kahit na ang mga kredensyal ng SSH ay na-update o ang pagpapatunay ng password ng SSH ay hindi pinagana. Bilang karagdagan, sa pamamagitan ng pagpapalit ng lehitimong file, tinanggal ng mga cybercriminal ang lahat ng kasalukuyang awtorisadong key, na pumipigil sa mga lehitimong user na matagumpay na ma-access ang nakompromisong SSH server sa pamamagitan ng pagpapatunay ng pampublikong key.
Ang mga layunin ng mga operator ng RapperBot Malware ay nananatiling malabo. Halimbawa, ganap na inalis ng mga aktor ng pagbabanta ang mga kakayahan ng DDoS (Distributed Denial-of-Service) ng pagbabanta, para lamang muling ipakilala ang huli, sa isang limitadong anyo.
