Μια νέα έκδοση του κακόβουλου λογισμικού botnet RapperBot χρησιμοποιείται για τη στόχευση διακομιστών παιχνιδιών με επιθέσεις DDoS. Οι συσκευές IoT χρησιμοποιούνται ως πύλες πρόσβασης στους διακομιστές.
Διακομιστές παιχνιδιών που στοχεύονται από επιτιθέμενους DDoS
Οι ηθοποιοί απειλών χρησιμοποιούν κακόβουλο λογισμικό RapperBot για να πραγματοποιήσουν διανομή άρνηση παροχής υπηρεσιών (DDoS) επιθέσεις σε διακομιστές παιχνιδιών. Οι πλατφόρμες Linux κινδυνεύουν από επιθέσεις από αυτό το εξαιρετικά επικίνδυνο botnet.
Σε ένα Ανάρτηση ιστολογίου Fortinet, αναφέρθηκε ότι το RapperBot πιθανότατα στοχεύει σε διακομιστές παιχνιδιών λόγω των συγκεκριμένων εντολών που υποστηρίζει και της έλλειψης επιθέσεων DDoS που σχετίζονται με HTTP. IoT (Internet of Things) Οι συσκευές κινδυνεύουν εδώ, αν και φαίνεται ότι το RapperBot ενδιαφέρεται περισσότερο για τη στόχευση παλαιότερων συσκευών εξοπλισμένων με το chipset Qualcomm MDM9625.
Το RapperBot φαίνεται να στοχεύει συσκευές που τρέχουν σε αρχιτεκτονικές ARM, MIPS, PowerPC, SH4 και SPARC, αν και δεν έχει σχεδιαστεί για να τρέχει σε chipset της Intel.
Αυτό δεν είναι το ντεμπούτο του RapperBot
Το RapperBot δεν είναι ολοκαίνουργιο στον χώρο του εγκλήματος στον κυβερνοχώρο, αν και δεν υπάρχει εδώ και χρόνια. Το RapperBot παρατηρήθηκε για πρώτη φορά στη φύση τον Αύγουστο του 2022 από την Fortinet, αν και έκτοτε επιβεβαιώθηκε ότι λειτουργεί από τον Μάιο του προηγούμενου έτους. Σε αυτήν την περίπτωση, το RapperBot χρησιμοποιήθηκε για την εκκίνηση του SSH επιθέσεις ωμής βίας για διάδοση σε διακομιστές Linux.
Η Fortinet δήλωσε στην προαναφερθείσα ανάρτηση ιστολογίου ότι η πιο σημαντική διαφορά σε αυτήν την ενημερωμένη έκδοση του RapperBot είναι «η πλήρης αντικατάσταση του κώδικα brute forcing SSH με το πιο συνηθισμένο Telnet ισοδύναμος".
Αυτός ο κώδικας Telnet έχει σχεδιαστεί για αυτοδιάδοση, ο οποίος μοιάζει πολύ και μπορεί να είναι εμπνευσμένος από το παλιό botnet Mirai IoT που εκτελείται σε επεξεργαστές ARC. Ο πηγαίος κώδικας Mirai διέρρευσε στα τέλη του 2016, γεγονός που οδήγησε στη δημιουργία πολυάριθμων τροποποιημένων εκδόσεων (μία από τις οποίες μπορεί να είναι το RapperBot).
Αλλά σε αντίθεση με το Mirai, αυτή η επανάληψη των ενσωματωμένων δυαδικών προγραμμάτων λήψης του RapperBot "αποθηκεύονται ως συμβολοσειρές byte διαφυγής, πιθανώς σε απλοποιήστε την ανάλυση και την επεξεργασία εντός του κώδικα», όπως αναφέρεται στην ανάρτηση ιστολογίου του Fortinet σχετικά με τη νέα έκδοση του botnet.
Οι χειριστές του Botnet δεν είναι γνωστοί
Τη στιγμή της γραφής, οι χειριστές του RapperBot παραμένουν ανώνυμοι. Ωστόσο, η Fortinet δήλωσε ότι ένας κακόβουλος ηθοποιός ή ομάδα ηθοποιών με πρόσβαση στον πηγαίο κώδικα είναι τα πιο πιθανά σενάρια. Περισσότερες πληροφορίες για αυτό ενδέχεται να δοθούν στο εγγύς μέλλον.
Είναι επίσης πιθανό ότι αυτή η ενημερωμένη έκδοση του RapperBot πιθανότατα χρησιμοποιείται από τα ίδια άτομα οι οποίοι χειρίστηκαν την προηγούμενη επανάληψη, καθώς θα χρειάζονταν πρόσβαση στον πηγαίο κώδικα για να πραγματοποιήσουν επιθέσεις.
Η δραστηριότητα του RapperBot συνεχίζει να παρακολουθείται
Το Fortinet ολοκλήρωσε την ανάρτησή του στο blog σχετικά με την ενημερωμένη παραλλαγή RapperBot διαβεβαιώνοντας τους αναγνώστες ότι η δραστηριότητα του κακόβουλου λογισμικού θα παρακολουθείται στο μέλλον. Έτσι, μπορεί να συνεχίσουμε να βλέπουμε περισσότερες περιπτώσεις χρήσης του RapperBot όσο περνάει ο καιρός.