Внушающий страх новый ботнет быстро набирает обороты

Эксперты предупреждают, что старый печально известный троян получил развитие. Его новый вариант используется для атаки на SSH-серверы Linux. Однако в отличие от оригинального вредоносного ПО, цель которого была совершенно ясна, исследователи пока не уверены, что замышляют операторы на этот раз.

Внушающий страх новый ботнет быстро набирает обороты. Фото: СС0

Исследователи кибербезопасности из Fortinet обнаружили вредоносное ПО IoT с необычными строками, связанными с SSH, и, проведя исследование, обнаружили RapperBot, вариант страшного трояна Mirai.

RapperBot был впервые развернут в середине июня 2022 года и используется для взлома SSH-серверов Linux и обеспечения устойчивости на конечных точках.

Троян довольно много заимствует у Mirai, но у него есть собственный протокол управления и контроля (C2), а также некоторые уникальные функции.

В отличие от Mirai, целью которого было распространение на как можно большее количество устройств, а затем использование этих устройств для проведения разрушительных распределенных атак типа «отказ в обслуживании» (DDoS), RapperBot распространяется с большим контролем и имеет ограниченные (иногда даже полностью отключенные) возможности для DDoS-атак.

Первый вывод исследователей заключается в том, что вредоносное ПО может использоваться для бокового перемещения в целевой сети и в качестве первого этапа многоэтапной атаки.

Его также можно было использовать просто для получения доступа к целевым устройствам, который впоследствии можно было продать на черном рынке. К такому выводу исследователи пришли в том числе из-за того, что троян не работает, скомпрометировав устройство.

Вирус довольно активен, утверждают исследователи, заявляя, что за последние полтора месяца он использовал более 3,5 тыс. уникальных IP-адресов по всему миру для сканирования и взлома серверов Linux SSH. Чтобы запустить атаку грубой силы, троянец сначала загружает список учетных данных со своего C2 через уникальные для хоста TCP-запросы. В случае успеха он сообщает о результатах обратно на C2.

Из сообщения исследователей Fortinet:

«В отличие от большинства вариантов Mirai, которые изначально перебирают серверы Telnet с использованием стандартных или слабых паролей, RapperBot исключительно сканирует и пытается перебрать серверы SSH, настроенные на прием аутентификации по паролю. Большая часть вредоносного кода содержит реализацию клиента SSH 2.0, который может подключаться и выполнять подбор любого SSH-сервера, поддерживающего обмен ключами Диффи-Хеллмана с 768-битными или 2048-битными ключами и шифрование данных с использованием AES128-CTR».

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме