Nova verzija botnet zlonamjernog softvera RapperBot koristi se za ciljanje poslužitelja igara s DDoS napadima. IoT uređaji koriste se kao pristupnici za pristup poslužiteljima.
Poslužitelji za igre na meti DDoS napadača
Akteri prijetnji koriste zlonamjerni softver RapperBot za distribuciju uskraćivanje usluge (DDoS) napadi na poslužitelje igara. Linux platforme su u opasnosti od napada ovog vrlo opasnog botneta.
U Post na blogu Fortinet, navedeno je da je RapperBot vjerojatno usmjeren na poslužitelje igara zbog specifičnih naredbi koje podržava i nepostojanja DDoS napada povezanih s HTTP-om. IoT (Internet stvari) uređaji su ovdje u opasnosti, iako se čini da je RapperBot više zabrinut za ciljanje starijih uređaja opremljenih Qualcomm MDM9625 čipsetom.
Čini se da RapperBot cilja na uređaje koji rade na ARM, MIPS, PowerPC, SH4 i SPARC arhitekturama, iako nije dizajniran za rad na Intelovim čipsetovima.
Ovo nije debi RapperBota
RapperBot nije potpuno nov u prostoru kibernetičkog kriminala, iako nije tu već godinama. RapperBot je Fortinet prvi put primijetio u divljini u kolovozu 2022., iako je u međuvremenu potvrđeno da radi od svibnja prethodne godine. U ovom slučaju, RapperBot je korišten za pokretanje SSH-a napadi brutalnom silom širiti na Linux poslužiteljima.
Fortinet je u gore navedenom postu na blogu naveo da je najznačajnija razlika u ovoj ažuriranoj verziji RapperBota je "potpuna zamjena SSH brute forcing koda s uobičajenijim Telnetom ekvivalent".
Ovaj Telnet kod dizajniran je za samopropagiranje, što jako sliči i može biti inspirirano starim Mirai IoT botnetom koji radi na ARC procesorima. Izvorni kod Miraija procurio je krajem 2016., što je dovelo do stvaranja brojnih modificiranih verzija (od kojih bi jedna mogla biti RapperBot).
Ali za razliku od Miraija, ova iteracija RapperBotovih ugrađenih binarnih programa za preuzimanje "pohranjuje se kao nizovi izbjegnutih bajtova, vjerojatno za pojednostaviti raščlanjivanje i obradu unutar koda", kako je navedeno u postu na blogu Fortinet u vezi s novom verzijom botnet.
Operatori Botneta nisu poznati
U vrijeme pisanja ovog teksta, operateri RapperBota ostali su anonimni. Međutim, Fortinet je naveo da su jedan zlonamjerni akter ili grupa aktera s pristupom izvornom kodu najvjerojatniji scenariji. Više informacija o tome moglo bi izaći u bliskoj budućnosti.
Također je vjerojatno da ovu ažuriranu verziju RapperBota vjerojatno koriste isti pojedinci koji su upravljali prethodnom iteracijom, budući da bi za izvođenje trebali pristup izvornom kodu napadi.
Aktivnost RapperBota nastavlja se pratiti
Fortinet je završio svoj post na blogu o ažuriranoj varijanti RapperBota uvjeravajući čitatelje da će se aktivnost zlonamjernog softvera nadzirati u budućnosti. Dakle, možda ćemo nastaviti vidjeti više slučajeva korištenja RapperBota kako vrijeme bude prolazilo.
