Nova različica zlonamerne programske opreme botneta RapperBot se uporablja za ciljanje strežnikov iger z napadi DDoS. Naprave IoT se uporabljajo kot prehodi za dostop do strežnikov.
Strežniki iger so tarča napadalcev DDoS
Akterji groženj uporabljajo zlonamerno programsko opremo RapperBot za izvajanje distribucije zavrnitev storitve (DDoS) napade na igralne strežnike. Platforme Linux so v nevarnosti napadov tega zelo nevarnega botneta.
V Objava v blogu Fortinet, je bilo navedeno, da je RapperBot verjetno namenjen igralnim strežnikom zaradi posebnih ukazov, ki jih podpira, in pomanjkanja odsotnosti napadov DDoS, povezanih s HTTP. IoT (Internet stvari) naprave so tukaj ogrožene, čeprav se zdi, da se RapperBot bolj ukvarja s ciljanjem na starejše naprave, opremljene z naborom čipov Qualcomm MDM9625.
Zdi se, da RapperBot cilja na naprave, ki delujejo na arhitekturah ARM, MIPS, PowerPC, SH4 in SPARC, čeprav ni zasnovan za delovanje na naborih čipov Intel.
To ni prvenec RapperBota
RapperBot ni povsem nov v prostoru kibernetske kriminalitete, čeprav ga tudi ni bilo več let. RapperBot je Fortinet prvič opazil v divjini avgusta 2022, čeprav je bilo od takrat potrjeno, da deluje od maja prejšnjega leta. V tem primeru je bil RapperBot uporabljen za zagon SSH napadi s surovo silo za širjenje na strežnikih Linux.
Fortinet je v zgoraj omenjeni objavi v spletnem dnevniku navedel, da je najpomembnejša razlika v tej posodobljeni različici RapperBot je "popolna zamenjava kode SSH brute forcing z bolj običajnim Telnetom enakovredno".
Ta koda Telnet je zasnovana za samorazmnoževanje, ki je zelo podobno in se lahko zgleduje po starem botnetu Mirai IoT, ki deluje na procesorjih ARC. Izvorna koda Mirai je pricurljala konec leta 2016, kar je vodilo do ustvarjanja številnih spremenjenih različic (ena od njih je morda RapperBot).
Toda za razliko od Miraia je ta ponovitev vdelanih binarnih prenosnikov RapperBot "shranjena kot nizi ubežnih bajtov, verjetno za poenostavite razčlenjevanje in obdelavo znotraj kode,« kot je navedeno v objavi v blogu Fortinet glede nove različice botnet.
Operaterji botneta niso znani
V času pisanja so operaterji RapperBota ostali anonimni. Vendar pa je Fortinet izjavil, da so najverjetnejši scenariji en zlonamerni akter ali skupina akterjev z dostopom do izvorne kode. Več informacij o tem bo morda na voljo v bližnji prihodnosti.
Prav tako je verjetno, da to posodobljeno različico RapperBota verjetno uporabljajo isti posamezniki ki so upravljali prejšnjo ponovitev, saj bi za izvedbo potrebovali dostop do izvorne kode napadi.
Dejavnost RapperBota se še naprej spremlja
Fortinet je končal svojo objavo v spletnem dnevniku v zvezi s posodobljeno različico RapperBot z zagotovilom bralcem, da bo dejavnost zlonamerne programske opreme v prihodnosti nadzorovana. Tako bomo morda še naprej videli več primerov uporabe RapperBota, ko bo čas mineval.
