Ремикс: исследователи обнаружили новую версию ботнета-рэпера

ИБ-специалисты из Fortinet FortiGuard Labs обнаружили новые образцы вредоносного ПО под названием RapperBot, которые используются для создания ботнета, способного запускать DDoS-атаки на игровые серверы. Стоит отметить, что именно они в августе этого года первыми засекли вредоноса. Тогда он был заточен только под брутфорс SSH-серверов Linux.

А в обновленной версии, обнаруженной специалистами Fortinet, появилось множество новых функций и возможностей:

• Брутфорс Telnet. Исследователям эта возможность напомнила ботнет Mirai;

• Возможность запуска DoS-атак через протокол туннелирования Generic Routing Encapsulation;

• Возможность проведения UDP-атаки. Эту функцию операторы ботнета продемонстрировали, когда направили UDP-флуд на игровые серверы GTA: San Andreas.

Кроме того, теперь список жестко закодированных учетных данных (которые являются учетными данными для IoT-устройств по умолчанию) встроен в двоичный файл, а не загружается с С&С-сервера, как это было раньше. Если злоумышленнику удается взломать устройство, использованные для успешного взлома учетные данные отправляются на сервер хакеров , только после чего на устройство будет установлен RapperBot.

Как говорят представители Fortinet, вредонос предназначен только для устройств, которые работают на архитектурах ARM, MIPS, PowerPC, SH4 и SPARC. На чипсетах от Intel ботнет останавливает механизм самораспространения.

Более того, было обнаружено, что текущая кампания имеет много общих черт с другими более ранними хакерскими операциями, в ходе которых был использован RapperBot. Опираясь на это, исследователи сделали вывод, что RapperBot может управляться одной группировкой или разными хакерами, имеющими доступ к исходному коду.