Нова версия на ботнет злонамерен софтуер RapperBot се използва за насочване към игрови сървъри с DDoS атаки. IoT устройствата се използват като шлюзове за достигане до сървърите.
Сървъри за игри, насочени към DDoS нападатели
Актьорите на заплахи използват злонамерен софтуер RapperBot, за да извършват разпространение отказ от услуга (DDoS) атаки срещу сървъри на игри. Linux платформите са изложени на риск от атаки от този изключително опасен ботнет.
В Публикация в блога на Fortinet, беше посочено, че RapperBot вероятно е насочен към игрови сървъри поради специфичните команди, които поддържа, и липсата на свързани с HTTP DDoS атаки. IoT (Интернет на нещата) устройствата са изложени на риск тук, въпреки че изглежда, че RapperBot е по-загрижен за насочването към по-стари устройства, оборудвани с чипсет Qualcomm MDM9625.
RapperBot изглежда е насочен към устройства, работещи на ARM, MIPS, PowerPC, SH4 и SPARC архитектури, въпреки че не е проектиран да работи на Intel чипсети.
Това не е дебютът на RapperBot
RapperBot не е съвсем нов в пространството на киберпрестъпността, въпреки че не съществува от години. RapperBot беше забелязан за първи път в дивата природа през август 2022 г. от Fortinet, въпреки че оттогава беше потвърдено, че е в действие от май предходната година. В този случай RapperBot се използва за стартиране на SSH атаки с груба сила за разпространение на Linux сървъри.
Fortinet заяви в горепосочената публикация в блога, че най-съществената разлика в тази актуализирана версия на RapperBot е „пълната замяна на SSH brute forcing кода с по-обичайния Telnet еквивалентен".
Този Telnet код е предназначен за саморазпространение, което много наподобява и може да е вдъхновено от стария ботнет Mirai IoT, който работи на ARC процесори. Изходният код на Mirai изтече в края на 2016 г., което доведе до създаването на множество модифицирани версии (една от които може да е RapperBot).
Но за разлика от Mirai, тази итерация на вградените бинарни програми за изтегляне на RapperBot се „съхраняват като екранирани низове от байтове, вероятно за опростете анализирането и обработката в кода“, както е посочено в публикацията в блога на Fortinet относно новата версия на ботнет.
Операторите на ботнета не са известни
Към момента на писане операторите на RapperBot остават анонимни. Въпреки това Fortinet заяви, че един злонамерен актьор или група от участници с достъп до изходния код са най-вероятните сценарии. Повече информация за това може да излезе в близко бъдеще.
Също така е вероятно тази актуализирана версия на RapperBot да се използва от същите лица които са управлявали предишната итерация, тъй като те ще имат нужда от достъп до изходния код, за да изпълнят атаки.
Дейността на RapperBot продължава да се наблюдава
Fortinet завърши своята публикация в блога относно актуализирания вариант на RapperBot, като увери читателите, че дейността на зловредния софтуер ще бъде наблюдавана в бъдеще. Така че може да продължим да виждаме повече случаи на използване на RapperBot с течение на времето.