Внушающий страх новый ботнет быстро набирает обороты
Внушающий страх новый ботнет быстро набирает обороты. Фото: СС0
Исследователи кибербезопасности из Fortinet обнаружили вредоносное ПО IoT с необычными строками, связанными с SSH, и, проведя исследование, обнаружили RapperBot, вариант страшного трояна Mirai.
RapperBot был впервые развернут в середине июня 2022 года и используется для взлома SSH-серверов Linux и обеспечения устойчивости на конечных точках.
Троян довольно много заимствует у Mirai, но у него есть собственный протокол управления и контроля (C2), а также некоторые уникальные функции.
В отличие от Mirai, целью которого было распространение на как можно большее количество устройств, а затем использование этих устройств для проведения разрушительных распределенных атак типа «отказ в обслуживании» (DDoS), RapperBot распространяется с большим контролем и имеет ограниченные (иногда даже полностью отключенные) возможности для DDoS-атак.
Первый вывод исследователей заключается в том, что вредоносное ПО может использоваться для бокового перемещения в целевой сети и в качестве первого этапа многоэтапной атаки.
Его также можно было использовать просто для получения доступа к целевым устройствам, который впоследствии можно было продать на черном рынке. К такому выводу исследователи пришли в том числе из-за того, что троян не работает, скомпрометировав устройство.
Вирус довольно активен, утверждают исследователи, заявляя, что за последние полтора месяца он использовал более 3,5 тыс. уникальных IP-адресов по всему миру для сканирования и взлома серверов Linux SSH. Чтобы запустить атаку грубой силы, троянец сначала загружает список учетных данных со своего C2 через уникальные для хоста TCP-запросы. В случае успеха он сообщает о результатах обратно на C2.
Из сообщения исследователей Fortinet:
«В отличие от большинства вариантов Mirai, которые изначально перебирают серверы Telnet с использованием стандартных или слабых паролей, RapperBot исключительно сканирует и пытается перебрать серверы SSH, настроенные на прием аутентификации по паролю. Большая часть вредоносного кода содержит реализацию клиента SSH 2.0, который может подключаться и выполнять подбор любого SSH-сервера, поддерживающего обмен ключами Диффи-Хеллмана с 768-битными или 2048-битными ключами и шифрование данных с использованием AES128-CTR».
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было