Rapperbot Botnet kötü amaçlı yazılımlarının yeni örnekleri, güvenliği ihlal edilmiş Intel X64 makinelerinde kripto para birimi için maden maddesi ekledi.
Değişiklik yavaş yavaş meydana geldi, geliştiriciler önce kriptominasyon bileşenini BOTNET kötü amaçlı yazılımdan ayrı olarak ekledi. Ocak ayının sonuna doğru, botnet ve kriptominasyon işlevleri tek bir birime birleştirildi.
Fortinet'in FortiGuard Labs'daki araştırmacılar, Haziran 2022'den beri rapperbot etkinliğini izliyor ve Mirai merkezli Botnet'in Linux SSH sunucularına, dağıtılmış Reddi (DDOS) saldırılarını başlatmak için işe almaya odaklandığını bildirdi.
Kasım ayında, araştırmacılar RapperBot'un bir telnet kendi kendini tanıtma mekanizması kullanan ve oyun sunucularına saldırılar için daha uygun DOS komutlarını içeren güncellenmiş bir versiyonu buldular.
Fortiguard Labs bu hafta Intel X64 mimarilerinde XMRIG Monero Madencisi'ni kullanan güncellenmiş bir rapperbot varyantı hakkında bilgi verdi.
Siber güvenlik firması, bu kampanyanın Ocak ayından bu yana aktif olduğunu ve öncelikle IoT cihazlarını hedeflediğini söylüyor.
Madencinin kodu artık analistlerden madencilik havuzlarını ve Monero madencilik adreslerini etkili bir şekilde gizleyen çift katmanlı XOR kodlama ile gizlenmiş rapperbot'a entegre edilmiştir.
Fordiguard Labs, BOT'un madencilik yapılandırmasını sert kodlanmış statik havuz adreslerine sahip olmak yerine komut ve kontrol (C2) sunucusundan aldığını ve fazlalık için birden fazla havuz ve cüzdan kullandığını buldu.
C2 IP adresi, izi daha da gizlemek için iki madencilik vekiline ev sahipliği yapar. C2 çevrimdışı olursa, rapperbot bir kamu maden havuzu kullanacak şekilde yapılandırılır.
Madencilik performansını en üst düzeye çıkarmak için, kötü amaçlı yazılım, ihlal edilen sistemdeki çalışma süreçlerini numaralandırır ve rakip madencilere karşılık gelenleri sona erdirir.
RapperBot'un en son analiz edilen sürümünde, C2 iletişimi için ikili ağ protokolü, ağ trafik monitörlerinden algılamadan kaçmak için iki katmanlı bir kodlama yaklaşımı kullanmak üzere yenilenmiştir.
Ayrıca, C2 sunucusuna gönderilen isteklerin boyutu ve aralıkları, değişimi daha gizli hale getirmek için randomize edilir, böylece kolayca tanınabilir kalıplar yapar.
Araştırmacılar, C2 sunucusundan analiz edilen örneklere gönderilen DDOS komutlarını gözlemlemese de, en son bot sürümünün aşağıdaki komutları desteklediğini keşfettiler:
Rapperbot hızlı bir şekilde gelişiyor gibi görünüyor ve operatörün kârını en üst düzeye çıkarmak için özellikler listesini genişletiyor.
Cihazları rapperbot ve benzer kötü amaçlı yazılımlardan korumak için kullanıcılara yazılımları güncel tutmaları, gereksiz hizmetleri devre dışı bırakmaları, varsayılan şifreleri güçlü bir şeye değiştirmeleri ve yetkisiz istekleri engellemek için güvenlik duvarlarını kullanmaları önerilir.
Kubernetes'i hedefleyen ilk bilinen Dero Cryptacking Operasyonu
Yeni DDOS Botnet kötü amaçlı yazılım tarafından sömürülen kritik Ruckus RCE kusuru
FBI Nukes Rus Yılan Veri Hırsızlığı Kendi Kendini İrtifa Komutu ile Kötü Yazılım
Yeni Atomik MacOS Info-Dirençli Kötü Yazılım Hedefleri 50 Kripto Cüzdan
TP-Link Archer Wifi Yönlendirici Kususu Mirai kötü amaçlı yazılım tarafından kullanıldı
Kaynak: Bleeping Computer