Исследователи предупредили, что активность Mirai-ботнета RapperBot возобновилась. Теперь обновленный вредонос используется для DDoS-атак на игровые серверы, хотя точные цели ботнета неизвестны.

Впервые эта малварь была обнаружена аналитиками Fortinet в августе прошлого года. Тогда сообщалось, что RapperBot активен с мая 2021 года, использует брутфорс SSH и распространяется Linux-серверах.

Кампании RapperBot

Новая версия вредоноса, которую теперь обнаружили исследователи, использует механизм самораспространения посредством Telnet, что больше похоже на оригинальный Mirai, лежащий в основе этой малвари. Кроме того, в текущей кампании стали более очевидны цели операторов RapperBot: в новой версии вредонос явно адаптирован для атак на игровые серверы.

Эксперты смогли изучить новый вариант RapperBot, используя артефакты C&C-коммуникаций, собранные в ходе предыдущих кампаний (то есть этот аспект работы ботнета не изменился). Выяснилось, что новая версия имеет несколько отличий, в том числе поддержку Telnet-брутфорса с использованием следующих команд:

  • регистрация (используется клиентом);
  • keep-alive (ничего не делать);
  • остановить DDoS и завершить работу клиента;
  • осуществить DDoS-атаку;
  • оставить все DDoS-атаки;
  • перезапустить брутфорс Telnet;
  • остановить брутфорс Telnet.

Теперь вредонос пытается брутфосить новые устройства, используя слабые учетные данные из жестко заданного списка, тогда как ранее подобный список загружался с управляющего сервера.

Если учтенные данные успешно подобраны, малварь сообщает об этом управляющему серверу злоумышленников  через порт 5123, а затем пытается получить и установить бинарник полезной нагрузки, подходящий для архитектуры атакованного устройства. В настоящее время поддерживаются архитектуры ARM, MIPS, PowerPC, SH4 и SPARC.

Кроме того, функциональность RapperBot пополнилась обширным набором команд для DDoS-атак, включая:

  • UDP флуд;
  • TCP SYN флуд;
  • TCP ACK флуд;
  • TCP STOMP флуд;
  • UDP SA:MP (нацелен на игровые серверы Grand Theft Auto: San Andreas)
  • GRE Ethernet флуд;
  • GRE IP флуд;
  • TCP флуд.

Так как малварь использует протокол туннелирования Generic Routing Encapsulation (GRE) и UDP, исследователи говорят, что одной из мишеней злоумышленников явно являются серверы Grand Theft Auto: San Andreas Multi Player (SA:MP).

Эксперты Fortinet считают, что все кампании RapperBot, скорее всего, были организованы одними и теми же операторами, поскольку новые варианты малвари явно созданы людьми, у которых есть доступ к исходному коду вредоноса. Более того, неизменными остаются протокол C&C-коммуникаций и используемые списки учетных данных.

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии