Korkunç yeni bir botnet hızla ivme kazanıyor

Korkunç yeni bir botnet hızla ivme kazanıyor

Uzmanlar, Linux SSH sunucularına saldırmak için kullanılan yeni varyantla eski, kötü şöhretli bir truva atının çatallandığı konusunda uyardı.

Ancak, amacı oldukça açık olan orijinal kötü amaçlı yazılımın aksine, araştırmacılar operatörlerin bu zamana kadar neler yaptığından henüz emin değiller.

Fortinet'ten siber güvenlik araştırmacıları, olağandışı SSH ile ilgili dizelere sahip IoT kötü amaçlı yazılımlarını tespit etti ve biraz daha derine indikten sonra, korkunç Mirai truva atının bir çeşidi olan RapperBot'u keşfetti.

Satılık erişim?

RapperBot ilk olarak Haziran 2022'nin ortalarında konuşlandırıldı ve Linux SSH sunucularına kaba kuvvet uygulamak ve uç noktalarda kalıcılık kazanmak için kullanılıyor.

RapperBot, Mirai'den çok şey ödünç alıyor, ancak kendi komuta ve kontrol (C2) protokolünün yanı sıra belirli benzersiz özelliklere sahip.

Ancak amacı mümkün olduğu kadar çok cihaza yayılmak ve ardından bu cihazları yıkıcı Dağıtılmış Hizmet Reddi (DDoS) saldırıları düzenlemek için kullanmak olan Mirai'nin aksine, RapperBot daha fazla kontrolle yayılıyor ve sınırlı (hatta bazen tamamen devre dışı bırakılmış) DDoS'a sahip. yetenekler.

Araştırmacıların ilk izlenimi, kötü amaçlı yazılımın bir hedef ağ içinde yanal hareket için ve çok aşamalı bir saldırının ilk aşaması olarak kullanılabileceği yönünde. Ayrıca, daha sonra karaborsada satılabilecek olan hedef cihazlara erişim sağlamak için de kullanılabilir. Araştırmacılar, diğer şeylerin yanı sıra, bir cihazı tehlikeye attığında, truva atının boşta kalması nedeniyle bu sonuca vardılar.

Son oyun ne olursa olsun, trojan oldukça aktif, araştırmacılar, geçen bir buçuk ayda, Linux SSH sunucularını taramak ve kaba zorlamak için dünya çapında 3.500'den fazla benzersiz IP adresi kullandığını söylüyor. Bir kaba kuvvet saldırısı başlatmak için, truva atı önce ana bilgisayara benzersiz TCP istekleri aracılığıyla C2'sinden bir kimlik bilgileri listesi indirir. Başarılı olursa, sonuçları C2'ye geri bildirir.

Fortinet, "Varsayılan veya zayıf parolalar kullanarak Telnet sunucularını doğal olarak kaba kuvvet uygulayan Mirai türevlerinin çoğunun aksine, RapperBot yalnızca parola doğrulamasını kabul edecek şekilde yapılandırılmış kaba kuvvet SSH sunucularını tarar ve denemeye çalışır," diye açıklıyor. "Kötü amaçlı yazılımın büyük kısmı, 768 bit veya 2048 bit anahtarlarla Diffie-Hellmann anahtar değişimini ve AES128-CTR kullanarak veri şifrelemeyi destekleyen herhangi bir SSH sunucusuna bağlanabilen ve kaba kuvvet uygulayabilen bir SSH 2.0 istemcisi uygulamasını içerir."

Kaynak: TechRadar