07.08.2022 | Новый ботнет использует SSH-серверы для взлома сетей Linux |
Новый ботнет под названием «RapperBot» используется в атаках с середины 2022 года, сосредоточившись на брутфорсе SSH-серверов Linux, чтобы закрепиться на устройстве. Согласно отчету исследователей из Fortinet , RapperBot основан на трояне Mirai , но отличается от него более жестким контролем и ограниченными возможностями. RapperBot ориентирован на первоначальный доступ к серверу, который может использоваться в качестве трамплина для бокового перемещения в сети. За 1,5 месяца с момента обнаружения новый ботнет использовал более 3500 уникальных IP-адресов по всему миру для сканирования и попытки взлома SSH-серверов Linux. «В отличие от большинства вариантов Mirai, которые изначально перебирают Telnet-серверы с помощью стандартных или слабых паролей, RapperBot сканирует и пытается выполнить брутфорс SSH-серверов, настроенных на прием аутентификации по паролю. Брутфорс основан на списке учетных данных, загруженных с C2 через уникальные TCP-запросы хоста.», — поясняется в отчете Fortinet . Эксперты заметили, что RapperBot использовал механизм самораспространения через удаленный загрузчик бинарных файлов, который был удален злоумышленниками в середине июля. Также ботнет использует команду оболочки, которая заменяет SSH-ключи жертвы на ключи хакера, чтобы оставаться в системе даже после смены SSH-пароля, перезагрузки устройства или удаления вредоносного ПО. В самых последних обнаруженных образцах бот добавляет root-пользователя «suhelper» на скомпрометированное устройство и создает задание Cron, которое повторно добавляет пользователя каждый час на случай, если администратор обнаружит учетную запись и удалит ее.
Атака RapperBot Кроме того, в более поздних образцах операторы ботнета добавили дополнительные уровни обфускации к строкам, такие как XOR-кодирование. Цели RapperBot неясны, однако, удаление функции самораспространения и добавление механизмов сохранения указывают на то, что операторы ботнета заинтересованы в продаже продукта другим вымогателям. Аналитики Fortinet не обнаружили дополнительных полезных нагрузок после компрометации, поэтому вредоносное ПО просто существует на зараженных хостах Linux и бездействует. |
Проверить безопасность сайта