Nowa wersja złośliwego oprogramowania typu botnet RapperBot jest wykorzystywana do atakowania serwerów gier za pomocą ataków DDoS. Urządzenia IoT są używane jako bramy dostępu do serwerów.
Serwery gier atakowane przez atakujących DDoS
Podmioty zagrażające wykorzystują złośliwe oprogramowanie RapperBot do przeprowadzania rozproszonych odmowa usługi (DDoS) ataki na serwery gier. Platformy linuksowe są narażone na ataki tego wysoce niebezpiecznego botnetu.
W Wpis na blogu Fortinet, stwierdzono, że RapperBot jest prawdopodobnie wymierzony w serwery gier ze względu na specyficzne polecenia, które obsługuje oraz brak ataków DDoS związanych z HTTP. IoT (Internet przedmiotów) urządzenia są tutaj zagrożone, chociaż wydaje się, że RapperBot jest bardziej zainteresowany atakowaniem starszych urządzeń wyposażonych w chipset Qualcomm MDM9625.
Wygląda na to, że RapperBot atakuje urządzenia działające na architekturach ARM, MIPS, PowerPC, SH4 i SPARC, chociaż nie jest przeznaczony do działania na chipsetach Intela.
To nie jest debiut RapperBota
RapperBot nie jest zupełnie nowy w przestrzeni cyberprzestępczości, chociaż nie istnieje też od lat. RapperBot został po raz pierwszy zauważony na wolności w sierpniu 2022 roku przez Fortinet, choć od tamtej pory potwierdzono, że działa od maja poprzedniego roku. W tym przypadku RapperBot był używany do uruchamiania SSH ataki brute-force propagować na serwerach Linux.
Fortinet stwierdził we wspomnianym poście na blogu, że najważniejsza różnica w tej zaktualizowanej wersji of RapperBot to „całkowite zastąpienie kodu brutalnego wymuszania SSH bardziej typowym Telnetem równowartość".
Ten kod Telnet jest przeznaczony do samodzielnego rozprzestrzeniania się, co bardzo przypomina i może być inspirowane starym botnetem Mirai IoT działającym na procesorach ARC. Kod źródłowy Mirai wyciekł pod koniec 2016 roku, co doprowadziło do powstania wielu zmodyfikowanych wersji (jedną z nich może być RapperBot).
Ale w przeciwieństwie do Mirai, ta iteracja wbudowanych programów do pobierania plików binarnych RapperBota jest „przechowywana jako ciągi bajtów z ucieczką, prawdopodobnie w celu uprościć parsowanie i przetwarzanie w kodzie”, jak stwierdzono w poście na blogu Fortinet dotyczącym nowej wersji botnet.
Operatorzy botnetu nie są znani
W chwili pisania tego tekstu operatorzy RapperBota pozostają anonimowi. Jednak firma Fortinet stwierdziła, że najbardziej prawdopodobnymi scenariuszami są jeden złośliwy aktor lub grupa aktorów z dostępem do kodu źródłowego. Więcej informacji na ten temat może pojawić się w niedalekiej przyszłości.
Jest również prawdopodobne, że ta zaktualizowana wersja RapperBot jest prawdopodobnie używana przez te same osoby kto obsługiwał poprzednią iterację, ponieważ do jej przeprowadzenia potrzebowaliby dostępu do kodu źródłowego ataki.
Aktywność RapperBota jest nadal monitorowana
Fortinet zakończył swój wpis na blogu dotyczący zaktualizowanego wariantu RapperBot, zapewniając czytelników, że aktywność złośliwego oprogramowania będzie monitorowana w przyszłości. W miarę upływu czasu możemy więc nadal widzieć więcej przypadków użycia RapperBota.
