Нова верзија ботнет малвера РапперБот се користи за циљање сервера игара са ДДоС нападима. ИоТ уређаји се користе као капије за приступ серверима.
Сервери за игре циљани од стране ДДоС нападача
Актери претњи користе РапперБот малвер за вршење дистрибуције ускраћивање услуге (ДДоС) напади на сервере игара. Линук платформе су у опасности од напада овог веома опасног ботнета.
У а Фортинет блог пост, наведено је да је РапперБот вероватно усмерен на сервере игара због специфичних команди које подржава и недостатка одсуства ДДоС напада повезаних са ХТТП-ом. ИоТ (Интернет ствари) уређаји су овде у опасности, иако се чини да је РапперБот више забринут за циљање старијих уређаја опремљених Куалцомм МДМ9625 чипсетом.
Изгледа да РапперБот циља на уређаје који раде на АРМ, МИПС, ПоверПЦ, СХ4 и СПАРЦ архитектури, иако није дизајниран да ради на Интел скуповима чипова.
Ово није деби РапперБота
РапперБот није потпуно нов у простору сајбер криминала, иако га нема годинама. РапперБот је први пут приметио у дивљини у августу 2022. од стране Фортинет-а, иако је од тада потврђено да је у функцији од маја претходне године. У овом случају, РапперБот је коришћен за покретање ССХ-а напади грубом силом да се шири на Линук серверима.
Фортинет је у претходно поменутом блог посту навео да је најзначајнија разлика у овој ажурираној верзији РапперБот-а је „потпуна замена ССХ бруталног кода са уобичајенијим Телнет-ом еквивалент".
Овај Телнет код је дизајниран за самопропагацију, што је веома слично и може бити инспирисано старим Мираи ИоТ ботнетом који ради на АРЦ процесорима. Мираи изворни код је процурио крајем 2016. године, што је довело до стварања бројних модификованих верзија (од којих једна може бити РапперБот).
Али за разлику од Мираи-а, ова итерација РапперБот-ових уграђених бинарних преузимача се „чува као стрингова одбачених бајтова, вероватно за поједноставите рашчлањивање и обраду унутар кода“, како је наведено у посту на блогу Фортинет у вези са новом верзијом ботнет.
Оператери ботнета нису познати
У време писања овог текста, РапперБот-ови оператери остају анонимни. Међутим, Фортинет је навео да су један злонамерни актер или група актера са приступом изворном коду највероватнији сценарији. Више информација о овоме могло би се појавити у блиској будућности.
Такође је вероватно да ову ажурирану верзију РапперБота вероватно користе исти појединци који су управљали претходном итерацијом, јер би им за извођење био потребан приступ изворном коду напада.
Активност РапперБота се и даље прати
Фортинет је завршио свој блог пост у вези са ажурираном варијантом РапперБот-а уверавајући читаоце да ће се активност малвера пратити у будућности. Дакле, можда ћемо наставити да виђамо више случајева коришћења РапперБота како време пролази.