Botivõrgu pahavara RapperBot uut versiooni kasutatakse DDoS-i rünnakutega mänguserverite sihtimiseks. IoT-seadmeid kasutatakse serveriteni jõudmiseks lüüsidena.
DDoS-i ründajate sihitud mänguserverid
Ohutegijad kasutavad levitamiseks RapperBoti pahavara teenuse keelamine (DDoS) rünnakud mänguserverite vastu. Linuxi platvormidel on selle üliohtliku robotivõrgu rünnakute oht.
Sees Fortineti ajaveebi postitus, öeldi, et RapperBot on tõenäoliselt suunatud mänguserveritele, kuna see toetab konkreetseid käske ja HTTP-ga seotud DDoS-i rünnakute puudumine. IoT (asjade internet) seadmed on siin ohus, kuigi tundub, et RapperBot tegeleb rohkem vanemate seadmete sihtimisega, mis on varustatud Qualcomm MDM9625 kiibistikuga.
Paistab, et RapperBot sihib seadmeid, mis töötavad ARM-i, MIPS-i, PowerPC-, SH4- ja SPARC-arhitektuuridel, kuigi see pole mõeldud Inteli kiibistikuga töötamiseks.
See pole RapperBoti debüüt
RapperBot pole küberkuritegevuse valdkonnas täiesti uus, kuigi ka seda pole juba aastaid olnud. Fortinet märkas RapperBoti looduses esimest korda 2022. aasta augustis, kuid sellest ajast saadik on kinnitatud, et see on tegutsenud alates eelmise aasta maist. Sel juhul kasutati SSH käivitamiseks RapperBoti toore jõu rünnakud levitada Linuxi serverites.
Fortinet märkis eelnimetatud ajaveebi postituses, et kõige olulisem erinevus selles uuendatud versioonis of RapperBot on "SSH brute forcing koodi täielik asendamine tavalisema Telnetiga samaväärne".
See Telneti kood on mõeldud iselevitamiseks, mis on väga sarnane vanale Mirai IoT robotvõrgule, mis töötab ARC-protsessoritel, ja võib olla sellest inspireeritud. Mirai lähtekood lekkis 2016. aasta lõpus, mis tõi kaasa arvukate muudetud versioonide loomise (üks neist võib olla RapperBot).
Kuid erinevalt Miraist on see RapperBoti manustatud binaarsete allalaadijate iteratsioon "salvestatud põgenenud baidistringidena, tõenäoliselt selleks, et lihtsustada koodis sõelumist ja töötlemist", nagu on öeldud Fortineti ajaveebi postituses, mis käsitleb programmi uut versiooni. botnet.
Botneti operaatorid pole teada
Selle artikli kirjutamise ajal jäid RapperBoti operaatorid anonüümseks. Siiski märkis Fortinet, et kõige tõenäolisemad stsenaariumid on üksik pahatahtlik osaleja või osalejate rühm, kellel on juurdepääs lähtekoodile. Lähiajal võib selle kohta rohkem infot ilmuda.
Samuti on tõenäoline, et seda RapperBoti värskendatud versiooni kasutavad tõenäoliselt samad isikud kes juhtisid eelmist iteratsiooni, kuna neil on selle läbiviimiseks vaja juurdepääsu lähtekoodile rünnakud.
RapperBoti tegevust jälgitakse jätkuvalt
Fortinet lõpetas oma ajaveebipostituse uuendatud RapperBoti variandi kohta, kinnitades lugejatele, et pahavara tegevust jälgitakse ka tulevikus. Seega võime aja möödudes jätkuvalt näha RapperBoti kasutamise juhtumeid.