Внушающий страх новый ботнет быстро набирает обороты

Внушающий страх новый ботнет быстро набирает обороты

5 августа 2022 г.

Старый печально известный троян был разветвлен, а новый вариант используется для атаки на Linux SSH серверы< /a>, предупреждают эксперты.

Однако, в отличие от оригинального вредоносного ПО, чья цель была совершенно ясна, исследователи еще не уверены, что операторы замышляют на этот раз.

Исследователи кибербезопасности из Fortinet обнаружили вредоносное ПО IoT с необычными строками, связанными с SSH, и, копнув немного глубже, обнаружили RapperBot, вариант ужасного трояна Mirai.

Доступ на продажу?

RapperBot впервые был развернут в середине июня 2022 года и используется для взлома Linux SSH-серверы и получить постоянство на конечных точках.

RapperBot довольно много заимствует у Mirai, но у него есть собственный протокол управления и контроля (C2), а также некоторые уникальные функции.

Но в отличие от Mirai, целью которого было чтобы распространиться на максимально возможное количество устройств, а затем использовать эти устройства для проведения разрушительных распределенных атак типа «отказ в обслуживании» (DDoS), RapperBot распространяется с большим контролем и имеет ограниченные (иногда даже полностью отключенные) возможности DDoS.

Первое впечатление исследователей состоит в том, что вредоносное ПО может использоваться для бокового перемещения в целевой сети и в качестве первого этапа многоэтапной атаки. Его также можно было использовать просто для получения доступа к целевым устройствам, доступ к которым впоследствии можно было продать на черном рынке. К такому выводу исследователи пришли в том числе из-за того, что троянец сидит без дела, раз скомпрометировав устройство.

Подробнее

> Это самый мощный ботнет из когда-либо существовавших< /a>

> Этот опасный ботнет нашел новый способ заражения ваших конечных устройств

> Это лучшие службы защиты конечных точек прямо сейчас

Какой бы ни была конечная цель, троянец довольно активен, утверждают исследователи, говоря, что за последние полтора месяца он использовал более 3500 уникальных IP-адресов по всему миру для сканирования и взлома Linux SSH серверы. Чтобы запустить атаку грубой силы, троянец сначала загружает список учетных данных со своего C2 через уникальные для хоста TCP-запросы. В случае успеха он сообщает о результатах обратно на C2.

"В отличие от большинства вариантов Mirai, которые по умолчанию выполняют подбор серверов Telnet с использованием стандартных или слабых паролей, RapperBot исключительно сканирует и пытается выполнить подбор серверов SSH. настроен на прием аутентификации по паролю», — объясняет Fortinet. «Большая часть вредоносного кода содержит реализацию клиента SSH 2.0, который может подключаться и выполнять подбор любого SSH-сервера, поддерживающего обмен ключами Диффи-Хеллмана с 768-битными или 2048-битными ключами и шифрование данных с использованием AES128-CTR». /p>

  • Защитите свои веб-службы от перегрузки с небольшой помощью представителей этой отрасли DDos защита легенды

Через: BleepingComputer

Оригинал

🔥 Популярное на этой неделе

⭐ Самое популярное

Categories


PREVIOUS ARTICLE
NEXT ARTICLE