En ny version af botnet-malware RapperBot bliver brugt til at målrette spilservere med DDoS-angreb. IoT-enheder bliver brugt som gateways til at nå serverne.
Spilservere målrettet af DDoS-angribere
Trussel aktører bruger RapperBot malware til at udføre distribueret denial-of-service (DDoS) angreb på spilservere. Linux-platforme er i fare for angreb fra dette meget farlige botnet.
I en Fortinet blogindlæg, blev det anført, at RapperBot sandsynligvis er rettet mod spilservere på grund af de specifikke kommandoer, den understøtter, og manglen på fravær af HTTP-relaterede DDoS-angreb. IoT (Internet of Things) enheder er i fare her, selvom det ser ud til, at RapperBot er mere optaget af at målrette mod ældre enheder udstyret med Qualcomm MDM9625-chipsættet.
RapperBot ser ud til at være målrettet mod enheder, der kører på ARM-, MIPS-, PowerPC-, SH4- og SPARC-arkitekturer, selvom det ikke er designet til at køre på Intel-chipsæt.
Dette er ikke RapperBots debut
RapperBot er ikke helt ny inden for cyberkriminalitet, selvom den heller ikke har eksisteret i årevis. RapperBot blev først bemærket i naturen i august 2022 af Fortinet, selvom det siden er blevet bekræftet, at det har været i drift siden maj året før. I dette tilfælde blev RapperBot brugt til at starte SSH brute-force angreb til at sprede sig på Linux-servere.
Fortinet udtalte i det førnævnte blogindlæg, at den mest markante forskel i denne opdaterede version af RapperBot er "den komplette erstatning af SSH brute forcering-koden med den mere sædvanlige Telnet tilsvarende".
Denne Telnet-kode er designet til selvudbredelse, som meget ligner og kan være inspireret af det gamle Mirai IoT-botnet, der kører på ARC-processorer. Mirai-kildekoden lækket i slutningen af 2016, hvilket førte til oprettelsen af adskillige modificerede versioner (hvoraf den ene kan være RapperBot).
Men i modsætning til Mirai er denne iteration af RapperBots indlejrede binære downloadere "gemt som undslupne byte-strenge, sandsynligvis for at forenkle parsing og behandling i koden", som angivet i Fortinet blogindlægget vedrørende den nye version af botnet.
Botnets operatører er ikke kendte
I skrivende stund forbliver RapperBots operatører anonyme. Fortinet udtalte dog, at en enkelt ondsindet aktør eller gruppe af aktører med adgang til kildekoden er de mest sandsynlige scenarier. Mere information om dette kan komme ud i den nærmeste fremtid.
Det er også sandsynligt, at denne opdaterede version af RapperBot sandsynligvis bliver brugt af de samme personer hvem betjente den forrige iteration, da de skulle have adgang til kildekoden for at udføre angreb.
RapperBots aktivitet bliver fortsat overvåget
Fortinet afsluttede sit blogindlæg vedrørende den opdaterede RapperBot-variant ved at forsikre læserne om, at malwarens aktivitet vil blive overvåget i fremtiden. Så vi kan fortsætte med at se flere forekomster af RapperBots brug, efterhånden som tiden går.