RapperBot Malware

Infosec araştırmacıları, RapperBot olarak izlenen tehlikeli bir IoT (Nesnelerin İnterneti) kötü amaçlı yazılımı tespit etti. Tehdidin analizi, yaratıcılarının kötü şöhretli Mirai Botnet'in kaynak kodunu yoğun bir şekilde kullandığını ortaya çıkardı. Mirai tehdidi, kaynak kodu Ekim 2016'da halka sızdırılmadan önce birkaç yüksek profilli saldırıda kullanıldı. O zamandan beri siber güvenlik araştırmacıları, Mirai'yi temel alan 60'tan fazla botnet ve kötü amaçlı yazılım türü belirledi. Ancak, RapperBot söz konusu olduğunda, tehdit tipik Mirai davranışından birkaç büyük sapma gösteriyor.

RapperBot ile ilgili ayrıntılar, yakın zamanda güvenlik araştırmacıları tarafından bir raporda yayınlandı. Elde ettikleri bulgulara göre, tehdit Haziran 2022'den beri aktif ve hızlı bir gelişim sürecinden geçiyor. Botnet tehdidi, Telnet sunucularını hedefleyen daha tipik Mirai uygulamasının aksine, Linux SSH sunucularında bir yer edinmek için kaba kuvvet taktiklerini kullanır.

Rapora göre, RapperBot, interneti tarayan ve yeni kurbanlara kaba kuvvet uygulayarak 3.500'den fazla benzersiz IP adresiyle köleleştirilmiş SSH sunucularını hızla büyütüyor. RapperBot ayrıca, daha kalıcılığa dayalı yöntemler lehine Mira benzeri kendi kendine yayılma tekniklerini geride bırakmış gibi görünüyor. Sonuç olarak, tehdit, yeniden başlatıldıktan veya kurbanlar tarafından kaldırılmaya çalışıldıktan sonra bile virüslü sistemde kalabilir.

İhlal edilen sunuculara erişim, operatörlerin SSH açık anahtarının eklenmesiyle sağlanır. Anahtar, '~/.ssh/yetkili_anahtarlar' adlı belirli bir dosyaya enjekte edilir. Ardından, tehdit aktörleri sunucuya serbestçe bağlanabilecek ve bir parola sağlamaya gerek kalmadan yalnızca ilgili özel anahtarı kullanarak kimlik doğrulaması yapabilecektir. Bu teknik, SSH kimlik bilgileri güncellense veya SSH parola doğrulaması devre dışı bırakılsa bile sunucuya erişimi sürdürecektir. Buna ek olarak, siber suçlular meşru dosyayı değiştirerek mevcut tüm yetkili anahtarları silmiş ve meşru kullanıcıların açık anahtar kimlik doğrulaması yoluyla güvenliği ihlal edilmiş SSH sunucusuna başarılı bir şekilde erişmesini engellemiştir.

RapperBot Malware operatörlerinin hedefleri belirsizliğini koruyor. Örneğin, tehdit aktörleri, tehdidin DDoS (Dağıtılmış Hizmet Reddi) yeteneklerini tamamen kaldırır, yalnızca ikincisini sınırlı bir biçimde yeniden devreye sokar.