Siber güvenlik araştırmacıları, oyun sunucularına Dağıtılmış Hizmet Reddi (DDoS) saldırıları başlatabilen bir botnet oluşturmak için kullanılan RapperBot adlı yeni kötü amaçlı yazılım örneklerini ortaya çıkardılar.
Fortinet FortiGuard Labs araştırmacıları Joie Salvio ve Roy Tay Salı günkü bir raporda, “Aslında, bu kampanyanın RapperBot’tan çok Şubat ayında ortaya çıkan ve ardından Nisan ortasında gizemli bir şekilde ortadan kaybolan eski bir kampanyaya benzediği ortaya çıktı.”
Ağustos 2022’de ağ güvenlik firması tarafından ilk kez belgelenen RapperBot’un, parola kimlik doğrulamasını kabul edecek şekilde yapılandırılmış SSH sunucularına özel olarak kaba kuvvet uyguladığı biliniyor.
Ortaya çıkan kötü amaçlı yazılım, kaynak kodu Ekim 2016’da sızan ve çeşitli varyantların yükselişine yol açan Mirai botnet’ten büyük ölçüde esinlenmiştir.
RapperBot’un güncellenmiş sürümüyle ilgili dikkate değer olan şey, Generic Routing Encapsulation (GRE) tünelleme protokolünü kullanarak DoS saldırılarını desteklemeye ek olarak Telnet kaba kuvvet gerçekleştirme yeteneğidir.
Araştırmacılar, “Telnet kaba kuvvet kodu, öncelikle kendi kendini yaymak için tasarlandı ve eski Mirai Satori botnet’ine benziyor” dedi.
IoT cihazlarıyla ilişkili varsayılan kimlik bilgileri olan bu sabit kodlu düz metin kimlik bilgileri listesi, Temmuz ayından sonra algılanan eserlerde gözlemlenen bir davranış olan bir komut ve kontrol (C2) sunucusundan alınmanın aksine ikili dosyaya gömülür. 2022.
Başarılı bir izinsiz girişi, kullanılan kimlik bilgilerinin C2 sunucusuna bildirilmesi ve saldırıya uğramış cihaza RapperBot yükünün yüklenmesi takip eder.
Fortinet, kötü amaçlı yazılımın yalnızca ARM, MIPS, PowerPC, SH4 ve SPARC mimarilerinde çalışan cihazları hedeflemek ve Intel yonga setlerinde çalışıyor olmaları durumunda kendi kendine yayılma mekanizmasını durdurmak için tasarlandığını söyledi.
Dahası, Ekim 2022 kampanyasının, Mayıs 2021’e kadar uzanan bir tarihte, kötü amaçlı yazılımı içeren diğer işlemlerle örtüştüğü tespit edildi. .
Araştırmacılar, “Bu yeni kampanya ile daha önce bildirilen RapperBot kampanyası arasındaki yadsınamaz benzerliklere dayanarak, tek bir tehdit aktörü tarafından veya özel olarak paylaşılan bir temel kaynak koduna erişimi olan farklı tehdit aktörleri tarafından işletiliyor olma olasılığı yüksektir.” sonuçlandı.