Nová verzia botnetového malvéru RapperBot sa používa na zacielenie DDoS útokov na herné servery. Zariadenia internetu vecí sa používajú ako brány na dosiahnutie serverov.
Herné servery cielené DDoS útočníkmi
Aktéri hrozieb používajú na vykonanie distribúcie malvér RapperBot odmietnutie služby (DDoS) útoky na herné servery. Linuxové platformy sú vystavené riziku útokov tohto vysoko nebezpečného botnetu.
V Príspevok na blogu Fortinet, bolo uvedené, že RapperBot je pravdepodobne zameraný na herné servery kvôli špecifickým príkazom, ktoré podporuje, a absencii DDoS útokov súvisiacich s HTTP. IoT (internet vecí) zariadenia sú tu ohrozené, aj keď sa zdá, že RapperBot sa viac zaoberá zacielením na staršie zariadenia vybavené čipovou sadou Qualcomm MDM9625.
Zdá sa, že RapperBot sa zameriava na zariadenia bežiace na architektúrach ARM, MIPS, PowerPC, SH4 a SPARC, hoci nie je navrhnutý tak, aby fungoval na čipsetoch Intel.
Toto nie je debut RapperBot
RapperBot nie je v oblasti počítačovej kriminality úplne nový, hoci tu nebol už roky. RapperBot bol prvýkrát zaznamenaný vo voľnej prírode v auguste 2022 spoločnosťou Fortinet, hoci odvtedy bolo potvrdené, že je v prevádzke od mája predchádzajúceho roka. V tomto prípade bol RapperBot použitý na spustenie SSH útoky hrubou silou šíriť na serveroch Linux.
Fortinet v spomínanom blogovom príspevku uviedol, že najvýraznejší rozdiel v tejto aktualizovanej verzii z RapperBot je „úplné nahradenie kódu hrubého vynútenia SSH bežnejším Telnetom ekvivalent“.
Tento Telnet kód je navrhnutý na samošírenie, ktoré sa veľmi podobá starému botnetu Mirai IoT, ktorý beží na procesoroch ARC, a môže byť inšpirovaný. Zdrojový kód Mirai unikol koncom roka 2016, čo viedlo k vytvoreniu mnohých upravených verzií (jedna z nich môže byť RapperBot).
Ale na rozdiel od Mirai je táto iterácia vstavaných binárnych sťahovacích programov RapperBot „uložená ako reťazce uniknutých bajtov, pravdepodobne zjednodušiť analýzu a spracovanie v rámci kódu“, ako sa uvádza v blogovom príspevku Fortinet o novej verzii botnet.
Operátori botnetu nie sú známi
V čase písania tohto článku zostávajú prevádzkovatelia RapperBotu v anonymite. Fortinet však uviedol, že najpravdepodobnejšími scenármi sú jeden škodlivý aktér alebo skupina hercov s prístupom k zdrojovému kódu. Viac informácií o tom môže vyjsť v blízkej budúcnosti.
Je tiež pravdepodobné, že túto aktualizovanú verziu RapperBot pravdepodobne používajú tí istí jednotlivci ktorí prevádzkovali predchádzajúcu iteráciu, pretože na vykonanie by potrebovali prístup k zdrojovému kódu útokov.
Činnosť RapperBot je naďalej monitorovaná
Fortinet ukončil svoj blogový príspevok týkajúci sa aktualizovaného variantu RapperBot uistením čitateľov, že aktivita malvéru bude v budúcnosti monitorovaná. Takže v priebehu času môžeme naďalej vidieť viac prípadov používania RapperBot.
