Eine neue Version der Botnet-Malware RapperBot wird verwendet, um Spielserver mit DDoS-Angriffen anzugreifen. IoT-Geräte werden als Gateways verwendet, um die Server zu erreichen.
Von DDoS-Angreifern angegriffene Spielserver
Bedrohungsakteure verwenden RapperBot-Malware, um verteilte Angriffe durchzuführen Denial-of-Service (DDoS) Angriffe auf Gameserver. Linux-Plattformen sind dem Risiko von Angriffen durch dieses hochgefährliche Botnetz ausgesetzt.
In einem Fortinet-Blogbeitrag, wurde festgestellt, dass RapperBot aufgrund der spezifischen Befehle, die es unterstützt, und der fehlenden Abwesenheit von HTTP-bezogenen DDoS-Angriffen wahrscheinlich auf Spieleserver abzielt. IoT (Internet der Dinge) Geräte sind hier gefährdet, obwohl es scheint, dass RapperBot eher darauf bedacht ist, ältere Geräte anzugreifen, die mit dem Qualcomm MDM9625-Chipsatz ausgestattet sind.
RapperBot scheint auf Geräte abzuzielen, die auf ARM-, MIPS-, PowerPC-, SH4- und SPARC-Architekturen laufen, obwohl es nicht für die Ausführung auf Intel-Chipsätzen ausgelegt ist.
Dies ist nicht das Debüt von RapperBot
RapperBot ist nicht ganz neu im Bereich der Cyberkriminalität, obwohl es ihn auch schon seit Jahren nicht mehr gibt. RapperBot wurde erstmals im August 2022 von Fortinet in freier Wildbahn bemerkt, obwohl inzwischen bestätigt wurde, dass er seit Mai des Vorjahres in Betrieb ist. In diesem Fall wurde RapperBot verwendet, um SSH zu starten Brute-Force-Angriffe auf Linux-Servern zu verbreiten.
Fortinet gab in dem oben genannten Blog-Beitrag an, dass der bedeutendste Unterschied in dieser aktualisierten Version liegt von RapperBot ist "der vollständige Ersatz des SSH-Brute-Forcing-Codes durch das üblichere Telnet gleichwertig“.
Dieser Telnet-Code ist für die Selbstausbreitung konzipiert, die dem alten Mirai IoT-Botnet, das auf ARC-Prozessoren läuft, sehr ähnlich ist und möglicherweise davon inspiriert ist. Der Mirai-Quellcode ist Ende 2016 durchgesickert, was zur Erstellung zahlreicher modifizierter Versionen führte (eine davon könnte RapperBot sein).
Aber im Gegensatz zu Mirai wird diese Iteration der eingebetteten binären Downloader von RapperBot „als Escape-Byte-Strings gespeichert, wahrscheinlich to vereinfachen das Parsen und Verarbeiten innerhalb des Codes", wie es im Fortinet-Blogbeitrag zur neuen Version der Botnetz.
Botnet-Betreiber sind nicht bekannt
Zum Zeitpunkt des Schreibens bleiben die Betreiber von RapperBot anonym. Fortinet erklärte jedoch, dass ein einzelner böswilliger Akteur oder eine Gruppe von Akteuren mit Zugriff auf den Quellcode die wahrscheinlichsten Szenarien sind. Weitere Informationen dazu werden möglicherweise in naher Zukunft veröffentlicht.
Es ist auch wahrscheinlich, dass diese aktualisierte Version von RapperBot wahrscheinlich von denselben Personen verwendet wird die die vorherige Iteration betrieben haben, da sie Zugriff auf den Quellcode benötigen würden, um sie auszuführen Anschläge.
Die Aktivitäten von RapperBot werden weiterhin überwacht
Fortinet beendete seinen Blog-Beitrag zur aktualisierten RapperBot-Variante mit der Zusicherung, dass die Aktivitäten der Malware in Zukunft überwacht werden. Daher werden wir im Laufe der Zeit möglicherweise weitere Fälle der Verwendung von RapperBot sehen.