A RapperBot botnet rosszindulatú program új verzióját használják a játékszerverek DDoS-támadásokkal történő megcélzására. Az IoT-eszközöket átjáróként használják a szerverek eléréséhez.
A DDoS támadók által megcélzott játékszerverek
A fenyegető szereplők RapperBot rosszindulatú programokat használnak a terjesztéshez szolgáltatásmegtagadás (DDoS) játékszerverek elleni támadások. A Linux platformokat támadások fenyegetik ez a rendkívül veszélyes botnet.
Az a Fortinet blogbejegyzés, azt állították, hogy a RapperBot valószínűleg a játékszervereket célozza meg az általa támogatott speciális parancsok és a HTTP-vel kapcsolatos DDoS támadások hiánya miatt. IoT (dolgok internete) Az eszközök itt vannak veszélyben, bár úgy tűnik, hogy a RapperBot inkább a Qualcomm MDM9625 lapkakészlettel felszerelt régebbi eszközök megcélzásával foglalkozik.
Úgy tűnik, hogy a RapperBot ARM, MIPS, PowerPC, SH4 és SPARC architektúrán futó eszközöket célozza meg, bár nem Intel lapkakészleteken való futtatásra tervezték.
Ez nem a RapperBot debütálása
A RapperBot nem teljesen új a kiberbűnözés terén, bár évek óta nem létezik. A RapperBot először 2022 augusztusában vette észre a vadonban a Fortinet, bár azóta megerősítették, hogy az előző év májusa óta működik. Ebben az esetben a RapperBotot használták az SSH elindítására nyers erejű támadások Linux szervereken terjedni.
A Fortinet a fent említett blogbejegyzésben kijelentette, hogy a legjelentősebb különbség ebben a frissített verzióban van A RapperBot "az SSH brute forcing kód teljes lecserélése a szokásosabb Telnetre egyenértékű".
Ezt a Telnet-kódot önterjesztésre tervezték, amely nagyon hasonlít a régi Mirai IoT botnetre, amely ARC processzorokon fut, és ihlette azt. A Mirai forráskód 2016 végén szivárgott ki, ami számos módosított verzió létrehozásához vezetett (amelyek közül az egyik a RapperBot lehet).
De a Miraitól eltérően a RapperBot beágyazott bináris letöltőinek ez az iterációja "kiszabadult bájtkarakterláncként van tárolva, valószínűleg azért, hogy egyszerűsítse a kódon belüli elemzést és feldolgozást", ahogy az a Fortinet blogbejegyzésében olvasható a program új verziójával kapcsolatban. botnet.
A botnet üzemeltetői nem ismertek
A cikk írásakor a RapperBot üzemeltetői névtelenek maradtak. A Fortinet azonban kijelentette, hogy a forráskódhoz hozzáféréssel rendelkező egyetlen rosszindulatú szereplő vagy szereplők csoportja a legvalószínűbb forgatókönyv. Ezzel kapcsolatban a közeljövőben további információk jelenhetnek meg.
Az is valószínű, hogy a RapperBot frissített verzióját valószínűleg ugyanazok a személyek használják akik az előző iterációt működtették, mivel a végrehajtáshoz hozzá kell férniük a forráskódhoz támadások.
A RapperBot tevékenységét továbbra is figyelemmel kísérik
A Fortinet a frissített RapperBot variánssal kapcsolatos blogbejegyzését azzal fejezte be, hogy biztosította az olvasókat arról, hogy a jövőben ellenőrizni fogják a kártevő tevékenységét. Így az idő múlásával továbbra is látni fogjuk a RapperBot használatának több példányát.
