O nouă versiune a programelor malware pentru botnet RapperBot este folosită pentru a viza serverele de jocuri cu atacuri DDoS. Dispozitivele IoT sunt folosite ca gateway-uri pentru a ajunge la servere.
Servere de jocuri vizate de atacatorii DDoS
Actorii amenințărilor folosesc malware RapperBot pentru a realiza distribuirea refuz de serviciu (DDoS) atacuri asupra serverelor de jocuri. Platformele Linux sunt expuse riscului de atacuri din partea acestei rețele botnet extrem de periculoase.
Într-o Postare pe blogul Fortinet, s-a afirmat că RapperBot este probabil destinat serverelor de jocuri din cauza comenzilor specifice pe care le acceptă și a lipsei atacurilor DDoS legate de HTTP. IoT (Internetul lucrurilor) dispozitivele sunt în pericol aici, deși se pare că RapperBot este mai preocupat de vizarea dispozitivelor mai vechi echipate cu chipset-ul Qualcomm MDM9625.
RapperBot pare să vizeze dispozitivele care rulează pe arhitecturi ARM, MIPS, PowerPC, SH4 și SPARC, deși nu este proiectat să ruleze pe chipset-uri Intel.
Acesta nu este debutul lui RapperBot
RapperBot nu este nou-nouță în spațiul criminalității cibernetice, deși nici nu a existat de ani de zile. RapperBot a fost observat pentru prima dată în sălbăticie în august 2022 de către Fortinet, deși de atunci a fost confirmat că a fost în funcțiune din luna mai a anului precedent. În acest caz, RapperBot a fost folosit pentru a lansa SSH atacuri cu forță brută pentru a se propaga pe serverele Linux.
Fortinet a declarat în postarea de blog menționată mai sus că cea mai semnificativă diferență în această versiune actualizată de RapperBot este „înlocuirea completă a codului de forțare brută SSH cu cel mai obișnuit Telnet echivalent".
Acest cod Telnet este conceput pentru autopropagare, care seamănă foarte mult și poate fi inspirat de vechea rețea botnet Mirai IoT care rulează pe procesoare ARC. Codul sursă Mirai s-a scurs la sfârșitul anului 2016, ceea ce a dus la crearea a numeroase versiuni modificate (dintre care una poate fi RapperBot).
Dar, spre deosebire de Mirai, această iterație a programelor de descărcare binare încorporate ale lui RapperBot sunt „stocate ca șiruri de octeți evadate, probabil pentru simplificați analizarea și procesarea în cadrul codului”, așa cum se precizează în postarea de blog Fortinet cu privire la noua versiune a botnet.
Operatorii botnetului nu sunt cunoscuți
La momentul redactării acestui articol, operatorii RapperBot rămân anonimi. Cu toate acestea, Fortinet a afirmat că un singur actor rău intenționat sau un grup de actori cu acces la codul sursă sunt scenariile cele mai probabile. Mai multe informații despre acest lucru ar putea apărea în viitorul apropiat.
De asemenea, este probabil ca această versiune actualizată a RapperBot să fie folosită probabil de aceleași persoane care a operat iterația anterioară, deoarece ar avea nevoie de acces la codul sursă pentru a o efectua atacuri.
Activitatea lui RapperBot continuă să fie monitorizată
Fortinet și-a încheiat postarea pe blog cu privire la varianta RapperBot actualizată, asigurând cititorii că activitatea malware-ului va fi monitorizată în viitor. Deci, putem continua să vedem mai multe cazuri de utilizare a lui RapperBot pe măsură ce timpul trece.
