Botnet kötü amaçlı yazılım RapperBot'un yeni bir sürümü, DDoS saldırılarıyla oyun sunucularını hedeflemek için kullanılıyor. IoT cihazları, sunuculara ulaşmak için ağ geçitleri olarak kullanılıyor.
DDoS Saldırganları Tarafından Hedeflenen Oyun Sunucuları
Tehdit aktörleri, dağıtılmış işlemleri yürütmek için RapperBot kötü amaçlı yazılımını kullanıyor. hizmet reddi (DDoS) oyun sunucularına yapılan saldırılar. Linux platformları, bu son derece tehlikeli botnet tarafından saldırı riski altındadır.
İçinde fortinet blog gönderisi, RapperBot'un desteklediği belirli komutlar ve HTTP ile ilgili DDoS saldırılarının olmaması nedeniyle büyük olasılıkla oyun sunucularını hedef aldığı belirtildi. IoT (Nesnelerin İnterneti) cihazlar burada risk altındadır, ancak RapperBot'un Qualcomm MDM9625 yonga seti ile donatılmış eski cihazları hedeflemekle daha çok ilgilendiği görülüyor.
RapperBot, Intel yonga setlerinde çalışacak şekilde tasarlanmasa da ARM, MIPS, PowerPC, SH4 ve SPARC mimarilerinde çalışan cihazları hedefliyor gibi görünüyor.
Bu, RapperBot'un İlk Çıkışı Değil
RapperBot, yıllardır ortalıkta olmamasına rağmen siber suç alanında yepyeni değil. RapperBot ilk olarak Ağustos 2022'de Fortinet tarafından vahşi doğada fark edildi, ancak o zamandan beri bir önceki yılın Mayıs ayından bu yana faaliyette olduğu doğrulandı. Bu örnekte, SSH'yi başlatmak için RapperBot kullanılıyordu kaba kuvvet saldırıları Linux sunucularında yayılmak için.
Fortinet, söz konusu blog gönderisinde bu güncellenmiş sürümdeki en önemli farkın RapperBot'un "SSH kaba zorlama kodunun daha olağan Telnet ile tamamen değiştirilmesi eş değer".
Bu Telnet kodu, ARC işlemcileri üzerinde çalışan eski Mirai IoT botnet'e çok benzeyen ve ondan ilham almış olabilecek kendi kendine yayılma için tasarlanmıştır. Mirai kaynak kodu 2016'nın sonlarında sızdırıldı ve bu da çok sayıda değiştirilmiş sürümün oluşturulmasına yol açtı (bunlardan biri RapperBot olabilir).
Ancak Mirai'den farklı olarak, RapperBot'un gömülü ikili indiricilerinin bu yinelemesi "kaçırılmış bayt dizileri olarak depolanır, muhtemelen kodun yeni sürümüyle ilgili Fortinet blog gönderisinde belirtildiği gibi "kod içinde ayrıştırmayı ve işlemeyi basitleştirin" botnet.
Botnet Operatörleri Bilinmiyor
Yazma sırasında, RapperBot'un operatörleri isimsiz kalır. Ancak Fortinet, tek bir kötü niyetli aktörün veya kaynak koduna erişimi olan bir grup aktörün en olası senaryolar olduğunu belirtti. Bununla ilgili daha fazla bilgi yakın gelecekte ortaya çıkabilir.
RapperBot'un bu güncellenmiş sürümünün muhtemelen aynı kişiler tarafından kullanılıyor olması da muhtemeldir. yürütmek için kaynak koduna erişmeleri gerekeceğinden önceki yinelemeyi çalıştıranlar saldırılar.
RapperBot'un Etkinliği İzlenmeye Devam Ediyor
Fortinet, güncellenmiş RapperBot çeşidiyle ilgili blog gönderisini, okuyuculara kötü amaçlı yazılımın etkinliğinin gelecekte izleneceği konusunda güvence vererek sonlandırdı. Bu nedenle, zaman geçtikçe RapperBot'un kullanımının daha fazla örneğini görmeye devam edebiliriz.