Uyarı: Yeni RapperBot Kampanyası Oyun Sunucularına DDoS Saldırıları Düzenlemeyi Hedefliyor

 


"" yüklenemedi. Invalid response: RpcError

Siber güvenlik araştırmacıları, oyun sunucularına karşı Dağıtık Hizmet Engelleme (DDoS) saldırıları başlatabilen bir botnet oluşturmak için kullanılan RapperBot adlı yeni kötü amaçlı yazılım örneklerini ortaya çıkardı.


Fortinet FortiGuard Labs araştırmacıları Joie Salvio ve Roy Tay Salı günü yayınladıkları raporda, "Aslında bu kampanyanın RapperBot'a Şubat ayında ortaya çıkan ve Nisan ayının ortasında gizemli bir şekilde ortadan kaybolan eski bir kampanyadan daha az benzediği ortaya çıktı" dedi.


Ağ güvenliği firması tarafından ilk kez Ağustos 2022'de belgelenen RapperBot'un yalnızca parola kimlik doğrulamasını kabul edecek şekilde yapılandırılmış SSH sunucularına Brute Force uyguladığı biliniyor.


Yeni ortaya çıkan kötü amaçlı yazılım, Ekim 2016'da kaynak kodu sızdırılan ve çeşitli varyantların ortaya çıkmasına neden olan Mirai botnetinden büyük ölçüde esinlenmiştir.


RapperBot'un güncellenmiş versiyonu hakkında dikkat çekici olan şey, Grand Theft Auto: San Andreas'ı çalıştıran oyun sunucularını hedef alan UDP sellerinin yanı sıra Genel Yönlendirme Kapsülleme (GRE) tünelleme protokolünü kullanarak DoS saldırılarını desteklemenin yanı sıra Telnet brute-force gerçekleştirme yeteneğidir.


Araştırmacılar, "Telnet brute-forcing kodu öncelikle kendi kendine yayılma için tasarlanmıştır ve eski Mirai Satori botnetini andırmaktadır" dedi.









IoT cihazlarıyla ilişkili varsayılan kimlik bilgileri olan bu sabit kodlu düz metin kimlik bilgileri listesi, Temmuz 2022'den sonra tespit edilen eserlerde gözlemlenen bir davranış olan komuta ve kontrol (C2) sunucusundan almak yerine ikili dosyaya gömülür.


Başarılı bir izinsiz girişin ardından kullanılan kimlik bilgileri C2 sunucusuna geri bildiriliyor ve RapperBot yükü saldırıya uğrayan cihaza yükleniyor.


Fortinet, zararlı yazılımın yalnızca ARM, MIPS, PowerPC, SH4 ve SPARC mimarileri üzerinde çalışan cihazları hedef alacak şekilde tasarlandığını ve Intel yonga setleri üzerinde çalışıyorsa kendi kendine yayılma mekanizmasını durdurduğunu söyledi.


Dahası, Ekim 2022 kampanyasının Mayıs 2021'e kadar kötü amaçlı yazılımı içeren diğer işlemlerle örtüştüğü tespit edildi; Telnet yayıcı modülü ilk kez Ağustos 2021'de ortaya çıktı, ancak daha sonraki örneklerde kaldırıldı ve geçen ay yeniden tanıtıldı.


Araştırmacılar, "Bu yeni kampanya ile daha önce bildirilen RapperBot kampanyası arasındaki inkar edilemez benzerliklere dayanarak, tek bir tehdit aktörü veya özel olarak paylaşılan bir temel kaynak koduna erişimi olan farklı tehdit aktörleri tarafından işletiliyor olmaları kuvvetle muhtemeldir" sonucuna vardı.


thehackernews'dan alıntıdır. 

Hiç yorum yok: