Uutta versiota botnet-haittaohjelmasta RapperBot käytetään kohdistamaan pelipalvelimiin DDoS-hyökkäyksillä. IoT-laitteita käytetään yhdyskäytävinä palvelimien saavuttamiseksi.
DDoS-hyökkääjien kohdistamat pelipalvelimet
Uhkatoimijat käyttävät RapperBot-haittaohjelmia hajautettujen toimien toteuttamiseen palvelunesto (DDoS) hyökkäyksiä pelipalvelimiin. Tämän erittäin vaarallisen bottiverkon hyökkäykset ovat vaarassa Linux-alustoilla.
Jonkin sisällä Fortinet blogikirjoitus, todettiin, että RapperBot on todennäköisesti suunnattu pelipalvelimille sen tukemien erityisten komentojen ja HTTP-aiheisten DDoS-hyökkäysten puuttumisen vuoksi. IoT (esineiden internet) laitteet ovat tässä vaarassa, vaikka näyttää siltä, että RapperBot on enemmän kiinnostunut vanhemmista laitteista, jotka on varustettu Qualcomm MDM9625 -piirisarjalla.
RapperBot näyttää kohdistuvan ARM-, MIPS-, PowerPC-, SH4- ja SPARC-arkkitehtuureissa toimiviin laitteisiin, vaikka sitä ei ole suunniteltu toimimaan Intel-piirisarjoilla.
Tämä ei ole RapperBotin debyytti
RapperBot ei ole uusi tietoverkkorikollisuuden alalla, vaikka se ei ole myöskään ollut olemassa vuosiin. Fortinet huomasi RapperBotin luonnossa ensimmäisen kerran elokuussa 2022, vaikka sen on sittemmin vahvistettu, että se on ollut toiminnassa edellisen vuoden toukokuusta lähtien. Tässä tapauksessa RapperBotia käytettiin SSH: n käynnistämiseen raa'an voiman hyökkäyksiä leviämään Linux-palvelimilla.
Fortinet totesi edellä mainitussa blogikirjoituksessa, että merkittävin ero tässä päivitetyssä versiossa RapperBot on "täydellinen SSH-raaka pakotuskoodin korvaaminen tavallisemmalla Telnetillä vastaava".
Tämä Telnet-koodi on suunniteltu itsensä levittämiseen, ja se muistuttaa läheisesti vanhaa Mirai IoT -bottiverkkoa, joka toimii ARC-suorittimilla, ja saattaa olla siitä inspiraationa. Mirai-lähdekoodi vuoti vuoden 2016 lopulla, mikä johti lukuisten muunneltujen versioiden luomiseen (joista yksi voi olla RapperBot).
Mutta toisin kuin Mirai, tämä RapperBotin sulautettujen binäärilatausohjelmien iteraatio on "tallennettu pakotettuina tavumerkkijonoina, luultavasti yksinkertaistaa koodin jäsentämistä ja käsittelyä", kuten Fortinet-blogiviestissä todetaan koodin uudesta versiosta. botnet.
Botnet-operaattoreita ei tunneta
Kirjoitushetkellä RapperBotin operaattorit ovat pysyneet nimettöminä. Fortinet kuitenkin totesi, että yksi haitallinen toimija tai toimijoiden ryhmä, jolla on pääsy lähdekoodiin, ovat todennäköisimpiä skenaarioita. Tästä saattaa tulla lisää tietoa lähiaikoina.
On myös todennäköistä, että samat henkilöt käyttävät tätä RapperBotin päivitettyä versiota jotka suorittivat edellistä iteraatiota, koska he tarvitsevat pääsyn lähdekoodiin suorittaakseen hyökkäyksiä.
RapperBotin toimintaa seurataan edelleen
Fortinet päätti päivitettyä RapperBot-versiota koskevan blogikirjoituksensa vakuuttamalla lukijoille, että haittaohjelman toimintaa seurataan jatkossa. Joten saatamme jatkossakin nähdä lisää RapperBotin käyttötapauksia ajan kuluessa.
