Новый ботнет использует SSH-серверы для взлома сетей Linux

[Artifact]

Ботнет сохраняется в системе даже после удаления, но при этом он не наносит вред устройству.

Новый ботнет под названием «RapperBot» используется в атаках с середины 2022 года, сосредоточившись на брутфорсе SSH-серверов Linux, чтобы закрепиться на устройстве.
Согласно отчету исследователей из Fortinet , RapperBot основан на трояне Mirai , но отличается от него более жестким контролем и ограниченными возможностями. RapperBot ориентирован на первоначальный доступ к серверу, который может использоваться в качестве трамплина для бокового перемещения в сети.
За 1,5 месяца с момента обнаружения новый ботнет использовал более 3500 уникальных IP-адресов по всему миру для сканирования и попытки взлома SSH-серверов Linux.
«В отличие от большинства вариантов Mirai, которые изначально перебирают Telnet-серверы с помощью стандартных или слабых паролей, RapperBot сканирует и пытается выполнить брутфорс SSH-серверов, настроенных на прием аутентификации по паролю. Брутфорс основан на списке учетных данных, загруженных с C2 через уникальные TCP-запросы хоста.», — поясняется в отчете Fortinet .
Эксперты заметили, что RapperBot использовал механизм самораспространения через удаленный загрузчик бинарных файлов, который был удален злоумышленниками в середине июля.
Также ботнет использует команду оболочки, которая заменяет SSH-ключи жертвы на ключи хакера, чтобы оставаться в системе даже после смены SSH-пароля, перезагрузки устройства или удаления вредоносного ПО.
В самых последних обнаруженных образцах бот добавляет root-пользователя «suhelper» на скомпрометированное устройство и создает задание Cron, которое повторно добавляет пользователя каждый час на случай, если администратор обнаружит учетную запись и удалит ее.

Атака RapperBot
Кроме того, в более поздних образцах операторы ботнета добавили дополнительные уровни обфускации к строкам, такие как XOR-кодирование.
Цели RapperBot неясны, однако, удаление функции самораспространения и добавление механизмов сохранения указывают на то, что операторы ботнета заинтересованы в продаже продукта другим вымогателям.
Аналитики Fortinet не обнаружили дополнительных полезных нагрузок после компрометации, поэтому вредоносное ПО просто существует на зараженных хостах Linux и бездействует.