Se ha bifurcado un viejo e infame troyano, y la nueva variante se usa para atacar servidores SSH de Linux, advirtieron los expertos.
Sin embargo, a diferencia del malware original, cuyo propósito era bastante claro, los investigadores aún no están seguros de qué están haciendo los operadores en este momento.
Los investigadores de ciberseguridad de Fortinet detectaron malware IoT con cadenas inusuales relacionadas con SSH y, después de profundizar un poco más, descubrieron RapperBot, una variante del temido troyano Mirai.
Acceso a la venta?
RapperBot se implementó por primera vez a mediados de junio de 2022 y se está utilizando para aplicar fuerza bruta en los servidores SSH de Linux y ganar persistencia en los puntos finales.
RapperBot toma mucho de Mirai, pero tiene su propio protocolo de comando y control (C2), así como ciertas características únicas.
Pero a diferencia de Mirai, cuyo objetivo era propagarse a tantos dispositivos como fuera posible y luego utilizar esos dispositivos para montar devastadores ataques de denegación de servicio distribuido (DDoS), RapperBot se está propagando con más control y tiene DDoS limitados (a veces incluso completamente desactivados). capacidades.
La primera impresión de los investigadores es que el malware podría usarse para el movimiento lateral dentro de una red de destino y como la primera etapa de un ataque de varias etapas. También podría usarse simplemente para obtener acceso a los dispositivos de destino, acceso que luego podría venderse en el mercado negro. Los investigadores llegaron a esta conclusión, entre otras cosas, debido al hecho de que el troyano permanece inactivo una vez que compromete un dispositivo.
Cualquiera que sea el final del juego, el troyano es bastante activo, afirman además los investigadores, diciendo que en el último mes y medio, usó más de 3500 direcciones IP únicas en todo el mundo para escanear y aplicar fuerza bruta a los servidores SSH de Linux. (se abre en una pestaña nueva). Para lanzar un ataque de fuerza bruta, el troyano primero descarga una lista de credenciales de su C2, a través de solicitudes TCP exclusivas del host. Si tiene éxito, informa los resultados al C2.
«A diferencia de la mayoría de las variantes de Mirai, que utilizan de forma nativa servidores Telnet de fuerza bruta que usan contraseñas predeterminadas o débiles, RapperBot escanea e intenta exclusivamente servidores SSH de fuerza bruta configurados para aceptar la autenticación de contraseña», explica Fortinet. «La mayor parte del código de malware contiene una implementación de un cliente SSH 2.0 que puede conectarse y aplicar fuerza bruta a cualquier servidor SSH que admita el intercambio de claves Diffie-Hellmann con claves de 768 o 2048 bits y cifrado de datos mediante AES128-CTR».
- Evite que sus servicios web se vean abrumados con un poco de ayuda de esta protección DDos de la industria (se abre en una pestaña nueva) leyendas
Vía: BleepingComputer (se abre en una pestaña nueva)