Threat Database Malware Шкідливе програмне забезпечення RapperBot

Шкідливе програмне забезпечення RapperBot

Дослідники Infosec ідентифікували небезпечне шкідливе програмне забезпечення IoT (Інтернет речей), яке відстежується як RapperBot. Аналіз загрози показав, що її творці активно використовували вихідний код сумнозвісного ботнету Mirai . Загроза Mirai використовувалася в кількох резонансних атаках до того, як її вихідний код був оприлюднений у жовтні 2016 року. Відтоді дослідники кібербезпеки ідентифікували понад 60 варіантів ботнетів і шкідливих програм, використовуючи Mirai як основу. Однак, коли мова заходить про RapperBot, загроза демонструє кілька серйозних відхилень від типової поведінки Mirai.

Подробиці про RapperBot були нещодавно оприлюднені в звіті дослідників безпеки. Згідно з їхніми висновками, загроза діє з червня 2022 року та швидко розвивається. Загроза ботнету використовує тактику грубої сили, щоб закріпитися на серверах Linux SSH, на відміну від більш типової реалізації Mirai, спрямованої на сервери Telnet.

Згідно зі звітом, RapperBot швидко розширює свої поневолені SSH-сервери з понад 3500 унікальними IP-адресами, які сканують Інтернет і грубим шляхом проникають до нових жертв. RapperBot також, схоже, відмовився від своїх методів саморозповсюдження, подібних до Mira, на користь більш стійких методів. У результаті загроза може залишатися в зараженій системі навіть після перезавантаження або спроби видалення жертвами.

Доступ до зламаних серверів здійснюється за допомогою додавання відкритого ключа SSH оператора. Ключ вставляється в окремий файл під назвою «~/.ssh/authorized_keys». Після цього зловмисники зможуть вільно підключатися до сервера та автентифікуватися лише за допомогою відповідного закритого ключа без необхідності вводити пароль. Ця техніка збереже доступ до сервера, навіть якщо облікові дані SSH оновлено або автентифікацію пароля SSH вимкнено. Крім того, замінивши законний файл, кіберзлочинці видалили всі наявні наразі авторизовані ключі, не дозволяючи законним користувачам успішно отримати доступ до зламаного сервера SSH через автентифікацію з відкритим ключем.

Цілі операторів RapperBot Malware залишаються туманними. Наприклад, суб’єкти загрози повністю видаляють можливості DDoS (розподілена відмова в обслуговуванні) загрози, лише щоб повторно запровадити останню в обмеженій формі.

В тренді

Найбільше переглянуті

Завантаження...