Nová verze botnetového malwaru RapperBot se používá k cílení na herní servery pomocí DDoS útoků. Zařízení IoT se používají jako brány pro přístup k serverům.
Herní servery cílené DDoS útočníky
Aktéři hrozeb používají k distribuci malware RapperBot odmítnutí služby (DDoS) útoky na herní servery. Linuxové platformy jsou ohroženy útoky tohoto vysoce nebezpečného botnetu.
V Příspěvek na blogu Fortinetbylo uvedeno, že RapperBot je pravděpodobně zaměřen na herní servery kvůli specifickým příkazům, které podporuje, a absenci DDoS útoků souvisejících s HTTP. IoT (internet věcí) zařízení jsou zde ohrožena, i když se zdá, že RapperBot se více zabývá cílením na starší zařízení vybavená čipovou sadou Qualcomm MDM9625.
Zdá se, že RapperBot cílí na zařízení běžící na architekturách ARM, MIPS, PowerPC, SH4 a SPARC, i když není navržen pro běh na čipových sadách Intel.
Toto není debut RapperBot
RapperBot není v oblasti kybernetické kriminality úplně nový, i když tu není už roky. RapperBot byl poprvé zaznamenán ve volné přírodě v srpnu 2022 společností Fortinet, i když bylo potvrzeno, že je v provozu od května předchozího roku. V tomto případě byl ke spuštění SSH použit RapperBot útoky hrubou silou šířit na linuxových serverech.
Fortinet ve výše zmíněném příspěvku na blogu uvedl, že nejvýznamnější rozdíl je v této aktualizované verzi of RapperBot je „úplné nahrazení kódu hrubého vynucení SSH běžnějším Telnetem ekvivalent".
Tento kód Telnetu je navržen pro vlastní šíření, které se velmi podobá starému botnetu Mirai IoT, který běží na procesorech ARC, a může být inspirován. Zdrojový kód Mirai unikl na konci roku 2016, což vedlo k vytvoření mnoha upravených verzí (jedna z nich může být RapperBot).
Ale na rozdíl od Mirai je tato iterace vestavěných binárních downloaderů RapperBot „uložena jako řetězce uniklých bajtů, pravděpodobně do zjednodušit analýzu a zpracování v rámci kódu“, jak je uvedeno v příspěvku na blogu Fortinet ohledně nové verze botnet.
Operátoři botnetu nejsou známí
V době psaní tohoto článku zůstávají provozovatelé RapperBotu v anonymitě. Fortinet však uvedl, že nejpravděpodobnějšími scénáři jsou jeden škodlivý aktér nebo skupina herců s přístupem ke zdrojovému kódu. Více informací o tom může vyjít v blízké budoucnosti.
Je také pravděpodobné, že tuto aktualizovanou verzi RapperBot pravděpodobně používají stejné osoby kteří provozovali předchozí iteraci, protože by k provedení potřebovali přístup ke zdrojovému kódu útoky.
Činnost RapperBot je nadále monitorována
Fortinet ukončil svůj blogový příspěvek týkající se aktualizované varianty RapperBot ujištěním čtenářů, že aktivita malwaru bude v budoucnu monitorována. Takže můžeme i nadále vidět další případy použití RapperBot, jak plyne čas.
