Новая версия вредоносного ботнета RapperBot используется для DDoS-атак на игровые серверы. Устройства IoT используются в качестве шлюзов для доступа к серверам.
Игровые серверы стали мишенью для DDoS-атак
Злоумышленники используют вредоносное ПО RapperBot для выполнения распределенных отказ в обслуживании (DDoS) атаки на игровые серверы. Платформы Linux подвержены риску атак со стороны этого крайне опасного ботнета.
В Сообщение в блоге Fortinet, было заявлено, что RapperBot, вероятно, нацелен на игровые серверы из-за конкретных поддерживаемых им команд и отсутствия DDoS-атак, связанных с HTTP. IoT (Интернет вещей) устройства здесь находятся под угрозой, хотя кажется, что RapperBot больше заботится о более старых устройствах, оснащенных чипсетом Qualcomm MDM9625.
Похоже, что RapperBot нацелен на устройства, работающие на архитектурах ARM, MIPS, PowerPC, SH4 и SPARC, хотя он не предназначен для работы на чипсетах Intel.
Это не дебют RapperBot
RapperBot не новичок в сфере киберпреступности, хотя и не существует уже много лет. RapperBot был впервые замечен Fortinet в августе 2022 года, хотя с тех пор было подтверждено, что он работает с мая прошлого года. В данном случае RapperBot использовался для запуска SSH. атаки грубой силы для распространения на серверах Linux.
Fortinet заявила в вышеупомянутом сообщении в блоге, что наиболее существенное отличие в этой обновленной версии RapperBot — это «полная замена кода перебора SSH на более привычный Telnet». эквивалент».
Этот код Telnet предназначен для самораспространения и очень похож на старый ботнет Mirai IoT, работающий на процессорах ARC, и может быть вдохновлен им. Исходный код Mirai просочился в конце 2016 года, что привело к созданию множества модифицированных версий (одной из которых может быть RapperBot).
Но в отличие от Mirai, эта итерация встроенных бинарных загрузчиков RapperBot «хранится в виде экранированных байтовых строк, вероятно, для упростить синтаксический анализ и обработку в коде», как указано в сообщении блога Fortinet относительно новой версии ботнет.
Операторы ботнета неизвестны
На момент написания статьи операторы RapperBot остаются анонимными. Однако Fortinet заявила, что наиболее вероятными сценариями являются один злоумышленник или группа субъектов с доступом к исходному коду. Более подробная информация об этом может появиться в ближайшее время.
Также вероятно, что эта обновленная версия RapperBot, вероятно, используется одними и теми же людьми. которые управляли предыдущей итерацией, так как им потребуется доступ к исходному коду для выполнения атаки.
Активность RapperBot продолжает отслеживаться
Fortinet завершила свое сообщение в блоге об обновленном варианте RapperBot, заверив читателей, что активность вредоносного ПО будет отслеживаться в будущем. Таким образом, мы можем продолжать видеть больше случаев использования RapperBot с течением времени.
