Haziran 2022'nin ortalarından beri 'Rapperbot' adlı yeni bir botnet, cihazda bir dayanak oluşturmak için Linux SSH sunucularına doğru yol almaya odaklanan saldırılarda kullanılıyor.
Araştırmacılar, rapperbot'un Mirai Truva atına dayandığını, ancak orijinal kötü amaçlı yazılımların normal davranışından saptığını gösteriyor, bu da mümkün olduğunca çok cihaza kontrolsüz yayılıyor.
Bunun yerine, rapperbot daha sıkı kontrol edilir, sınırlı DDOS özelliklerine sahiptir ve işlemi, bir ağ içindeki yanal hareket için basamak taşları olarak kullanılması muhtemel olan başlangıç sunucusu erişimine yönelik görünür.
Keşfinden bu yana geçen son 1,5 ay boyunca, yeni BotNet dünya çapında 3.500'den fazla benzersiz IPS kullandı ve Brute-Forcing Linux SSH sunucularını taramak ve denemek için.
Yeni botnet, IoT kötü amaçlı yazılımının olağandışı bazı SSH ile ilgili dizilere sahip olduğunu ve daha fazla araştırmaya karar verdiğini fark eden Fortinet'teki tehdit avcıları tarafından Vahşi'de keşfedildi.
Rapperbot bir Mirai çatalı olduğunu kanıtladı, ancak kendi komutu ve kontrol (C2) protokolü, benzersiz özellikleri ve kontrodize sonrası atipik (botnet için) etkinlik.
Fortinet Raporu, "Varsayılan veya zayıf şifreler kullanan telnet sunucularını doğal olarak zorlaştıran Mirai varyantlarının çoğunluğunun aksine, rapperbot, parola kimlik doğrulamasını kabul etmek için yapılandırılmış yapılandırılmış SSH sunucularını yalnızca tarar ve kabartı yapmaya çalışır."
"Kötü amaçlı yazılım kodunun büyük kısmı, AES128-CTR kullanarak 768-bit veya 2048 bit anahtar ve veri şifrelemesiyle Diffie-Hellmann Key Exchange'i destekleyen herhangi bir SSH sunucusunu bağlayabilen ve kaba kuvvet bağlayabilen bir SSH 2.0 istemcisinin uygulanmasını içerir."
SSH kaba zorlama, ana bilgisayar-unik TCP istekleri aracılığıyla C2'den indirilen kimlik bilgilerinin bir listesine dayanırken, kötü amaçlı yazılım başarılı olduğunda C2'ye rapor verir.
Fortinet araştırmacıları botu takip ettiler ve yeni varyantları örneklemeye devam ederek Rapperbot'un Temmuz ayı ortasındaki tehdit aktörleri tarafından kaldırılan uzak bir ikili indirici aracılığıyla bir kendi kendini tanıtım mekanizması kullandığını fark ettiler.
O zamanlar dolaşan yeni varyantlar, kurbanın SSH anahtarlarını aktörle değiştiren bir kabuk komutu içeriyordu ve esasen SSH şifre değişikliklerinden sonra bile korunan kalıcılık oluşturdu.
Ayrıca, RapperBot, aktörün SSH anahtarını ana bilgisayarın "~/.ssh/yetkili_keyler" e eklemek için bir sistem ekledi, bu da yeniden başlatmalar arasında veya kötü amaçlı yazılım bulunup silinmiş olsa bile sunucudan erişimi korumaya yardımcı oldu.
Araştırmacılar tarafından analiz edilen en son örneklerde BOT, kök kullanıcısı "Suhelper" ı tehlikeye atılan uç noktalara ekler ve bir yöneticinin hesabı keşfetmesi ve silmesi durumunda kullanıcıyı her saat yeniden katlayan bir CRON işi oluşturur.
Ayrıca, kötü amaçlı yazılım yazarlarının XOR kodlaması gibi daha sonraki numunelerdeki dizelere ekstra gizleme katmanları eklediklerini belirtmek gerekir.
Çoğu botnet ya DDOS saldırıları gerçekleştirir veya ana bilgisayarın mevcut hesaplama kaynaklarını ele geçirerek para madenciliği yapar ve bazıları her ikisini de yapar.
Bununla birlikte, RapperBot'un amacı, yazarlar DDOS işlevlerini sınırlı tuttu ve hatta bir noktada kaldırdı ve yeniden tanıttılar.
Ayrıca, kendi kendini tanıtmanın kaldırılması ve kalıcılık ve tespit kaçınma mekanizmalarının eklenmesi, BOTNET'in operatörlerinin fidye yazılımı aktörlerine ilk erişim satışlarıyla ilgilenebileceğini göstermektedir.
Fortinet, analistlerinin izleme süresi boyunca hiçbir ek yükün teslim edildiğini görmediğini bildirdi, bu nedenle kötü amaçlı yazılım sadece enfekte Linux ana bilgisayarlarına yuva yapıyor ve uykuda oturuyor.
Yeni 'Lightning Framework' Linux kötü amaçlı yazılım, rootkits, backroors yükler
Yeni eşler arası botnet, kriptominerlerle linux sunucularını enfekte eder
Linux Botnets artık kritik Atlassian Confluence Bug'dan yararlanıyor
QBOT kötü amaçlı yazılım artık kimlik avı saldırılarında Windows MSDT sıfır gününü kullanıyor
Facebook, Hackers tarafından kullanılan yeni Android kötü amaçlı yazılım bulur
Kaynak: Bleeping Computer