Fortinet FortiGuard Labs araştırmacıları, RapperBot kötü amaçlı yazılımının yeni örneklerini keşfettiler.
Kötü amaçlı yazılım daha önce FortiGuard’ın makalesinde rapor edilmişti – Peki RapperBot, Ne İçin Bruting Yapıyorsunuz?
FortiGurad’ın araştırmacıları Joie Salvio ve Roy Tay, Ağustos 2022’de ilk keşfedildiği zamandan bu yana vahşi doğada dolaşan örneklerin sayısında bir düşüş kaydetti. Daha önce kullanılan aynı benzersiz C2 protokolü RapperBot kötü amaçlı yazılımını kullanarak Ekim ayından yeni örnekler belirlediler. Bilginiz olsun diye söylüyorum, RapperBot kötü amaçlı yazılımı, parola kimlik doğrulamasını kabul edebilen kaba kuvvet SSH sunucularıyla tanınır.
Bu kötü amaçlı yazılım farklıdır çünkü Genel Yönlendirme Kapsülleme (GRE) tünel protokolü aracılığıyla DoS saldırılarını desteklemenin yanı sıra Grand Theft Auto: San Andreas’ı çalıştıran oyun sunucularını hedef alan UDP selleri dışında Telnet kaba kuvvet uygulayabilir.
Telnet kaba kuvvet kodu, kendi kendine yayılma için geliştirilmiştir. Araştırmacılar, Telnet kodunun Mirai Satori’ye benzemesi nedeniyle Mirai botnet’in RapperBot kötü amaçlı yazılımına ilham verdiğini belirtti.
Mirai’nin kaynak kodunun Ekim 2016’da sızdırıldığını ve o zamandan beri Mirai’nin birçok farklı varyantının ortaya çıktığını belirtmekte fayda var.
FortiGuard’daki araştırmacılar, örneklerin oyun sunucularına karşı yepyeni bir DDoS kampanyası için oluşturulduğundan emin. 2022’nin başlarında tespit edilen benzer bir kampanyanın yeniden ortaya çıkması da olabilir. Bu yeni kampanya, Şubat 2022’de tespit edilen ve daha sonra Nisan’da ortadan kaybolan eski RapperBot kampanyasından çok farklı.
Fortinet araştırmacıları bir blog gönderisinde, kötü amaçlı yazılımın yalnızca PowerPC, ARM, SH4, SPARC ve MIPS mimarilerini çalıştıran cihazları hedef alabileceğini yazdı. Intel yonga setlerinde çalışıyorlarsa kendi kendine yayılma mekanizmasını hızla durdurabilir.
“Bu yeni kampanya ile daha önce bildirilen RapperBot kampanyası arasındaki inkar edilemez benzerliklere dayanarak, bunların tek bir tehdit aktörü tarafından veya özel olarak paylaşılan bir temel kaynak koduna erişimi olan farklı tehdit aktörleri tarafından çalıştırılma olasılığı yüksektir.”
Joie Salvio ve Roy Tay – FortiGurad
Üst/Öne Çıkan Görsel: PixaBay – Victoria_Watercolor
Alakalı haberler
- Büyük AB ülkesi felç edici DDoS saldırılarından etkilendi
- İran’ın En Büyük Çelik Üreticisi Siber Saldırıyla Vuruldu
- İki büyük uçuş takip hizmeti, siber saldırılar tarafından vuruldu
- Avrupa Bankacılık Otoritesi, MS Exchange Server hack’inde kurban oldu
- Avrupa’da Nerbian RAT Düşen COVID-19 Hakkında Sahte DSÖ E-postaları