Una nuova versione del malware botnet RapperBot viene utilizzata per colpire i server di gioco con attacchi DDoS. I dispositivi IoT vengono utilizzati come gateway per raggiungere i server.
Server di gioco presi di mira da aggressori DDoS
Gli attori delle minacce utilizzano il malware RapperBot per eseguire le operazioni distribuite negazione del servizio (DDoS) attacchi ai server di gioco. Le piattaforme Linux sono a rischio di attacchi da parte di questa botnet altamente pericolosa.
In un Post sul blog di Fortinet, è stato affermato che RapperBot è probabilmente rivolto ai server di gioco a causa dei comandi specifici che supporta e della mancanza di attacchi DDoS correlati a HTTP. IoT (Internet delle cose) i dispositivi sono a rischio qui, anche se sembra che RapperBot sia più interessato a prendere di mira i dispositivi meno recenti dotati del chipset Qualcomm MDM9625.
RapperBot sembra prendere di mira i dispositivi in esecuzione su architetture ARM, MIPS, PowerPC, SH4 e SPARC, sebbene non sia progettato per funzionare su chipset Intel.
Questo non è il debutto di RapperBot
RapperBot non è nuovo di zecca nello spazio del crimine informatico, anche se non esiste da anni. RapperBot è stato notato per la prima volta in natura nell'agosto 2022 da Fortinet, anche se da allora è stato confermato che è operativo dal maggio dell'anno precedente. In questo caso, RapperBot veniva utilizzato per avviare SSH attacchi di forza bruta propagarsi sui server Linux.
Fortinet ha dichiarato nel suddetto post sul blog che la differenza più significativa in questa versione aggiornata di RapperBot è "la completa sostituzione del codice di forzatura bruta SSH con il più consueto Telnet equivalente".
Questo codice Telnet è progettato per l'auto-propagazione, che ricorda da vicino e potrebbe essere ispirato alla vecchia botnet Mirai IoT che gira su processori ARC. Il codice sorgente di Mirai è trapelato alla fine del 2016, il che ha portato alla creazione di numerose versioni modificate (una delle quali potrebbe essere RapperBot).
Ma a differenza di Mirai, questa iterazione dei downloader binari incorporati di RapperBot è "memorizzata come stringhe di byte con escape, probabilmente per semplificare l'analisi e l'elaborazione all'interno del codice", come affermato nel post sul blog di Fortinet relativo alla nuova versione del botnet.
Gli operatori di botnet non sono noti
Al momento in cui scrivo, gli operatori di RapperBot rimangono anonimi. Tuttavia, Fortinet ha affermato che gli scenari più probabili sono un singolo attore malintenzionato o un gruppo di attori con accesso al codice sorgente. Maggiori informazioni su questo potrebbero uscire nel prossimo futuro.
È anche probabile che questa versione aggiornata di RapperBot venga probabilmente utilizzata dalle stesse persone che hanno gestito l'iterazione precedente, poiché avrebbero bisogno di accedere al codice sorgente per eseguirla attacchi.
L'attività di RapperBot continua a essere monitorata
Fortinet ha concluso il suo post sul blog riguardante la variante RapperBot aggiornata assicurando ai lettori che l'attività del malware sarà monitorata in futuro. Quindi, potremmo continuare a vedere più casi di utilizzo di RapperBot con il passare del tempo.