RapperBot botnet kötü amaçlı yazılımının yeni örnekleri, güvenliği ihlal edilmiş Intel x64 makinelerinde kripto para madenciliği yapmak için cryptojacking yetenekleri ekledi.
Değişiklik, geliştiricilerin önce kripto madenciliği bileşenini botnet kötü amaçlı yazılımından ayrı olarak eklemesiyle kademeli olarak gerçekleşti. Ocak ayının sonuna doğru, botnet ve kripto madenciliği işlevleri tek bir birimde birleştirildi.
Yeni RapperBot madencilik kampanyası
Fortinet’in FortiGuard Laboratuarlarındaki araştırmacılar, Haziran 2022’den beri RapperBot etkinliğini izliyor ve Mirai tabanlı botnet’in, Linux SSH sunucularını dağıtılmış hizmet reddi (DDoS) saldırıları başlatmak üzere işe almak için kaba kuvvet kullanmaya odaklandığını bildirdi.
Kasım ayında araştırmacılar, RapperBot’un bir Telnet kendi kendine yayılma mekanizması kullanan ve oyun sunucularına yapılan saldırılar için daha uygun DoS komutları içeren güncellenmiş bir sürümünü buldular.
FortiGuard Labs bu hafta Intel x64 mimarilerinde XMRig Monero madencisini kullanan RapperBot’un güncellenmiş bir varyantını bildirdi.
Siber güvenlik firması, bu kampanyanın Ocak ayından beri aktif olduğunu ve öncelikle IoT cihazlarını hedeflediğini söylüyor.
Madencinin kodu artık, madencilik havuzlarını ve Monero madenciliği adreslerini analistlerden etkili bir şekilde gizleyen çift katmanlı XOR kodlamasıyla gizlenmiş olan RapperBot’a entegre edilmiştir.
FortiGuard Labs, botun madencilik yapılandırmasını sabit kodlanmış statik havuz adresleri yerine komut ve kontrol (C2) sunucusundan aldığını ve fazlalık için birden fazla havuz ve cüzdan kullandığını tespit etti.
C2 IP adresi, izlemeyi daha da karmaşık hale getirmek için iki madencilik proxy’sini bile barındırır. C2 çevrimdışı olursa, RapperBot genel madencilik havuzunu kullanacak şekilde yapılandırılır.
Kötü amaçlı yazılım, madencilik performansını en üst düzeye çıkarmak için ihlal edilen sistem üzerinde çalışan işlemleri sıralar ve rakip madencilere karşılık gelenleri sonlandırır.
RapperBot’un analiz edilen en son sürümünde, C2 iletişimi için ikili ağ protokolü, ağ trafiği monitörlerinden tespit edilmekten kaçınmak için iki katmanlı bir kodlama yaklaşımı kullanacak şekilde yenilendi.
Ayrıca, C2 sunucusuna gönderilen isteklerin boyutu ve aralıkları, değiş tokuşu daha gizli hale getirmek için rastgele hale getirilir, böylece kolayca tanınabilir modeller yapılır.
Araştırmacılar, analiz edilen örneklere C2 sunucusundan gönderilen herhangi bir DDoS komutunu gözlemlemezken, en son bot sürümünün aşağıdaki komutları desteklediğini keşfettiler:
- DDoS saldırıları gerçekleştirin (UDP, TCP ve HTTP GET)
- DDoS saldırılarını durdurun
- Kendisini (ve herhangi bir alt işlemi) sonlandırın
RapperBot, hızla gelişiyor ve operatörün kârını en üst düzeye çıkarmak için özellikler listesini genişletiyor gibi görünüyor.
Cihazları RapperBot ve benzeri kötü amaçlı yazılımlardan korumak için kullanıcılara yazılımı güncel tutmaları, gereksiz hizmetleri devre dışı bırakmaları, varsayılan parolaları güçlü bir parolayla değiştirmeleri ve yetkisiz istekleri engellemek için güvenlik duvarlarını kullanmaları önerilir.