Ботнет RapperBot на основі Mirai знову з’явився через нову кампанію, яка заражає пристрої IoT для атак DDoS (розподілена відмова в обслуговуванні) проти ігрових серверів. Зловмисне програмне забезпечення було виявлено дослідниками Fortinet у серпні минулого року, коли воно використовувало підбір SSH для поширення на серверах Linux. Простеживши його діяльність, дослідники виявили, що RapperBot працює з травня 2021 року, але його точні цілі було важко розшифрувати.
Нещодавній варіант замість цього використовує механізм само розповсюдження Telnet, який ближче до підходу оригінального зловмисного програмного забезпечення Mirai. Крім того, мотивація поточної кампанії більш очевидна, оскільки команди DoS в останньому варіанті створені для атак на сервери, на яких розміщені онлайн-ігри.
Аналітики Fortinet могли спробувати новий варіант, використовуючи артефакти зв’язку C2, зібрані в попередніх кампаніях, що свідчить про те, що цей аспект роботи ботнету не змінився.
Аналітики помітили, що новий варіант має кілька відмінностей, включаючи підтримку підбору Telnet за допомогою таких команд:
- Реєстрація (використовується клієнтом)
- Keep-Alive/Нічого не робити
- Зупиніть усі DoS-атаки та завершіть роботу клієнта
- Виконайте DoS-атаку
- Зупинити всі DoS-атаки
- Перезапустіть підбір Telnet
- Зупинити підбір Telnet
Зловмисне програмне забезпечення намагається перебороти пристрої, використовуючи звичайні слабкі облікові дані з жорстко закодованого списку, тоді як раніше воно отримувало список із C2.
«Для оптимізації зусиль грубого підбору зловмисне програмне забезпечення порівнює підказку сервера після з’єднання з жорстко закодованим списком рядків, щоб ідентифікувати можливий пристрій, а потім лише пробує відомі облікові дані для цього пристрою», — пояснює Fortinet.
«На відміну від менш складних зловмисних програм для Інтернету речей, це дозволяє зловмисним програмам уникати спроби перевірити повний список облікових даних».
Після успішного знаходження облікових даних він повідомляє про це в C2 через порт 5123, а потім намагається отримати та встановити правильну версію основного двійкового файлу корисного навантаження для виявленої архітектури пристрою. На цей час підтримуються архітектури ARM, MIPS, PowerPC, SH4 і SPARC.
Можливості DoS у старішому варіанті RapperBot були настільки обмеженими та загальними, що дослідники припустили, що його оператори можуть бути більш зацікавлені в початковому бізнесі доступу.
Однак в останньому варіанті справжня природа зловмисного програмного забезпечення стала очевидною з додаванням широкого набору команд DoS-атаки, таких як:
- Загальний UDP-флуд
- TCP SYN flood
- TCP ACK flood
- TCP STOMP флуд
- UDP SA:MP флуд, націлений на ігрові сервери під керуванням GTA San Andreas: Multi Player (SA:MP)
- GRE Ethernet flood
- GRE IP flood
- Загальний TCP-флуд
Виходячи з методів HTTP DoS, зловмисне програмне забезпечення, схоже, спеціалізується на запуску атак на ігрові сервери.
«Ця кампанія додає DoS-атаки проти протоколу GRE та протоколу UDP, які використовуються модом Grand Theft Auto: San Andreas Multi Player (SA:MP),» — йдеться у звіті Fortinet.
Fortinet вважає, що всі виявлені кампанії RapperBot організовані одними й тими ж операторами, оскільки нові варіанти вказують на доступ до вихідного коду шкідливого ПЗ. Крім того, протокол зв’язку C2 залишається незмінним, список облікових даних, які використовуються для спроб грубого форсування, залишається незмінним із серпня 2021 року, і наразі не було жодних ознак збігу кампаній. Щоб захистити свої пристрої IoT від ботнет-інфекцій, оновлюйте мікропрограму, змінюйте облікові дані за замовчуванням на надійний унікальний пароль і, якщо це можливо, розмістіть їх за брандмауером.
Comments