Ботнет RapperBot объединил DDoS и криптоджекинг: новые версии нацелены на IoT-устройства

[Artifact]

Ботнет превращает ваш Linux в шахту по добыче Monero.

Новые образцы ботнета RapperBot добавили возможности криптоджекинга для добычи криптовалюты на скомпрометированных машинах Intel x64.
Изменение происходило постепенно, разработчики сначала добавляли компонент криптомайнинга отдельно от вредоносного ПО, а к концу января функции ботнета и криптомайнинга были объединены в единое целое.
Исследователи из FortiGuard Labs от Fortinet отслеживают активность RapperBot с июня 2022 года и сообщают , что обновлённый вариант RapperBot использует майнер XMRig Monero на архитектуре Intel x64. ИБ-компания сообщает, что эта кампания активна с января и в первую очередь нацелена на IoT-устройства.
Код майнера теперь интегрирован в RapperBot, обфусцирован двухуровневым XOR-кодированием, которое эффективно скрывает майнинговые пулы и майнинговые адреса Monero от аналитиков.
FortiGuard Labs обнаружила, что бот получает свою конфигурацию майнинга с сервера управления и контроля (C2) вместо жестко запрограммированных адресов статического пула и использует несколько пулов и кошельков для резервирования.
Чтобы максимизировать производительность майнинга, вредоносное ПО перечисляет запущенные процессы во взломанной системе и завершает процессы, связанные с другими майнерами-конкурентами.
Хотя исследователи не обнаружили никаких DDoS-команд, отправляемых с C2-сервера на проанализированные образцы, они обнаружили, что последняя версия бота поддерживает следующие команды:

• Выполнение DDoS-атак (UDP, TCP и HTTP GET);

• Остановить DDoS-атаки;

• Завершение работы (и любых дочерних процессов).

RapperBot, похоже, быстро развивается и расширяет список функций, чтобы максимизировать прибыль оператора.
Чтобы защитить устройства от RapperBot и подобных вредоносных программ, пользователям рекомендуется обновлять программное обеспечение, отключать ненужные службы, менять пароли по умолчанию на более надежные и использовать брандмауэры для блокировки несанкционированных запросов.
Ранее в 2022 году ИБ-специалисты из Fortinet FortiGuard Labs о бнаружили новые образцы RapperBot , которые использовались для создания ботнета, способного запускать DDoS-атаки на игровые серверы. Стоит отметить, что именно эксперты Fortinet в 2022 году первыми засекли вредонос. Тогда он был заточен только под брутфорс SSH-серверов Linux.