Threat Database Malware RapperBot 恶意软件

RapperBot 恶意软件

Infosec 研究人员发现了一种危险的 IoT(物联网)恶意软件,被追踪为 RapperBot。对威胁的分析表明,其创建者大量使用了臭名昭著的Mirai 僵尸网络的源代码。在其源代码于 2016 年 10 月泄露给公众之前,Mirai 威胁被用于多次备受瞩目的攻击。从那时起,网络安全研究人员已经确定了 60 多个以 Mirai 为基础的僵尸网络和恶意软件变种。然而,当谈到 RapperBot 时,威胁显示出与典型 Mirai 行为的几个主要差异。

安全研究人员最近在一份报告中公布了有关 RapperBot 的详细信息。根据他们的调查结果,该威胁自 2022 年 6 月以来一直很活跃,并且正在快速发展。僵尸网络威胁使用蛮力策略在 Linux SSH 服务器上站稳脚跟,这与针对 Telnet 服务器的更典型的 Mirai 实施不同。

根据该报告,RapperBot 正在迅速发展其受奴役的 SSH 服务器,其拥有超过 3,500 个唯一 IP 地址扫描互联网并暴力破解新的受害者。 RapperBot 似乎也抛弃了类似 Mira 的自我传播技术,转而采用更多基于持久性的方法。因此,即使在重新启动或受害者尝试删除后,威胁仍会保留在受感染的系统上。

通过添加运营商的 SSH 公钥来访问被破坏的服务器。密钥被注入到名为“~/.ssh/authorized_keys”的特定文件中。之后,威胁参与者将能够自由连接到服务器并仅使用相应的私钥进行身份验证,而无需提供密码。即使更新了 SSH 凭据或禁用了 SSH 密码身份验证,此技术仍将保持对服务器的访问。此外,通过替换合法文件,网络犯罪分子已经删除了所有当前存在的授权密钥,从而阻止了合法用户通过公钥身份验证成功访问受感染的 SSH 服务器。

RapperBot 恶意软件运营商的目标仍然模糊不清。例如,威胁参与者完全删除了威胁的 DDoS(分布式拒绝服务)功能,只是为了以有限的形式重新引入后者。

趋势

最受关注

正在加载...