บ็อตเน็ตใหม่ที่น่ากลัวกำลังได้รับโมเมนตัมอย่างรวดเร็ว

• การเปรียบเทียบ
• บทเรียน
• บ็อตเน็ตใหม่ที่น่ากลัวกำลังได้รับโมเมนตัมอย่างรวดเร็ว

มีการสร้างม้าโทรจันเก่าที่น่าอับอายและมีการใช้ตัวแปรใหม่เพื่อโจมตีเซิร์ฟเวอร์ Linux SSH ผู้เชี่ยวชาญเตือน

อย่างไรก็ตาม ต่างจากมัลแวร์ดั้งเดิมซึ่งมีจุดประสงค์ค่อนข้างชัดเจน นักวิจัยยังไม่ทราบว่าโอเปอเรเตอร์กำลังทำอะไรอยู่

นักวิจัยด้านความปลอดภัยทางไซเบอร์ของ Fortinet ตรวจพบมัลแวร์ IoT ที่มีสตริง SSH ที่ผิดปกติ และหลังจากขุดลึกลงไปอีกเล็กน้อย พวกเขาค้นพบ RapperBot ซึ่งเป็นตัวแปรของ Mirai Trojan ที่น่าสะพรึงกลัว

เข้าถึงการขาย?

RapperBot ถูกปรับใช้ครั้งแรกในกลางเดือนมิถุนายน 2022 และใช้เพื่อโจมตีเซิร์ฟเวอร์ Linux SSH ที่ดุร้ายและได้รับความคงอยู่ตลอดปลายทาง

RapperBot นั้นใช้ Mirai เป็นหลัก แต่มีโปรโตคอลคำสั่งและการควบคุม (C2) ของตัวเอง รวมถึงคุณสมบัติพิเศษบางอย่าง

แต่ต่างจาก Mirai ที่มีเป้าหมายในการแพร่กระจายไปยังอุปกรณ์ต่างๆ ให้ได้มากที่สุดและใช้อุปกรณ์เหล่านั้นเพื่อติดตั้งการโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (DDoS) ที่ทำลายล้าง RapperBot แพร่กระจายด้วยการควบคุมที่มากขึ้นและมีความสามารถ DDoS ที่จำกัด (บางครั้งถึงกับหมด) . .

ความประทับใจแรกของนักวิจัยคือมัลแวร์สามารถใช้สำหรับการเคลื่อนไหวด้านข้างภายในเครือข่ายเป้าหมายและเป็นขั้นตอนแรกของการโจมตีหลายขั้นตอน นอกจากนี้ยังสามารถใช้เพียงเพื่อเข้าถึงอุปกรณ์เป้าหมาย ซึ่งสามารถขายในตลาดมืดได้ นักวิจัยได้ข้อสรุปนี้ เนื่องจากโทรจันยังคงไม่ทำงานเมื่อโจมตีอุปกรณ์

นักวิจัยยังอ้างอีกว่าในช่วงหนึ่งเดือนครึ่งที่ผ่านมา โทรจันได้ใช้ที่อยู่ IP ที่ไม่ซ้ำกันมากกว่า 3500 แห่งทั่วโลกในการสแกนและเจาะเข้าไปในเซิร์ฟเวอร์ Linux SSH อย่างไร้ความปราณี แท็บ) ในการเริ่มต้นการโจมตีด้วยกำลังเดรัจฉาน โทรจันจะดาวน์โหลดรายการข้อมูลประจำตัวจาก C2 ของคุณก่อน ผ่านคำขอ TCP เดียวไปยังโฮสต์ หากสำเร็จจะรายงานผลให้ C2

"A diferencia de la mayoría de las variantes de Mirai, que obligan de forma nativa a los servidores Telnet a usar contraseñas predeterminadas o débiles, RapperBot escanea e intenta usar la fuerza bruta en los servidores SSH configurados para aceptar la autenticación de contraseña", explica Fortinet. "La mayor parte del código malicioso contiene una implementación de un cliente SSH 2.0 que puede iniciar sesión y aplicar fuerza bruta a cualquier servidor SSH que admita el intercambio de claves Diffie-Hellmann con claves de 768 o 2048 bits y el cifrado de datos mediante AES128-CTR".

• ป้องกันบริการเว็บของคุณจากการถูกครอบงำด้วยความช่วยเหลือเพียงเล็กน้อยจากตำนานการป้องกัน DDos ชั้นนำของอุตสาหกรรมเหล่านี้ (เปิดในแท็บใหม่)

ผ่าน: BleepingComputer (เปิดในแท็บใหม่)