Mirai RapperBot Malware greift Online-Spieleserver mit DDoS an

Ein Mirai-Botnetz, “Rapperbot”, das von Fortinet-Forschern bemerkt wurde, hat mit einer neuen Kampagne, die IoT-Geräte für einen DDoS-Angriff auf Online-Spieleserver infiziert, sein Comeback gegeben.

Fortinet-Forscher bemerkten es erstmals im August letzten Jahres, als es SSH (Server Socket Shell) Brute-Forcing einsetzte, um auf Linux-Server vorzudringen.

Die Forscher fanden durch die Verfolgung der Aktivitäten des RapperBotnet heraus, dass das Botnetz seit Mai 2021 aktiv ist, obwohl sein Ziel schwer zu interpretieren war.

Die neue Variante verwendet ein Telnet-Selbstverbreitungssystem, das näher an der Methode des ursprünglichen Malware ist. Auch der Grund hinter dieser Kampagne ist jetzt klar, da die DDoS-Befehle in der neuen Variante für die Angriffe auf die Server, die Online-Spiele hosten, angepasst sind.

Darüber hinaus konnten die Forscher von Fortinet die neue Variante durch die C2-Befehlsrelikte aus der vorherigen Kampagne analysieren, was darauf hindeutet, dass sich die Eigenschaften der Funktionsweise des Botnetzes nicht geändert haben.

Lesen: Russland mit Liebe Hacktivisten greifen ukrainische Organisationen mit Somnia-Ransomware an

Der Analyst der Sicherheitsfirma beobachtete, dass die neue Variante mehrere Unterschiede aufwies, darunter die Unterstützung für Tel-Brute-Forcing durch diese Befehle!

• Registrieren (vom Client verwendet)
• Keep-Alive/Nichts tun
• Alle DoS-Angriffe stoppen und den Client beenden
• Einen DoS-Angriff durchführen
• Alle DoS-Angriffe stoppen
• Telnet-Brute-Forcing neu starten
• Telnet-Brute-Forcing stoppen

Jetzt versucht die Malware, mit den vertrauten schwachen Anmeldeinformationen aus einer fest codierten Liste Brute-Forcing durchzuführen, während sie zuvor von der C2 abgerufen wurde.

Fortinet fügte hinzu, dass der Rapperbot, um die Wirkung des Brute-Forcings zu optimieren, die Serveraufforderungsverbindung mit einer fest codierten Liste von Zeichenfolgen vergleicht, um das mögliche Gerät zu identifizieren, und dann nur die bekannten Anmeldeinformationen für das Gerät ausprobiert.

So kann der Rapperbot im Gegensatz zur fortschrittlichen IoT-Malware vermeiden, eine Liste vollständiger Anmeldeinformationen zu testen, und nachdem er die Anmeldeinformationen erfolgreich lokalisiert hat, meldet die Malware über Port 5123 an die C2 zurück und versucht dann, die neueste Version der Hauptpayload-Binärdatei für die identifizierte Gerätearchitektur zu sammeln und zu installieren.

Derzeit wird die Architektur ARM, MIPS, PowerPC, SH4 und SPARC unterstützt.

Darüber hinaus war die Fähigkeit der älteren Version von RapperBot so begrenzt und allgemein, dass die Analysten spekulierten, dass die Angreifer möglicherweise mehr an einem anfänglichen Zugriff interessiert sein könnten, obwohl mit der neuesten Version die genauen Eigenschaften des Rapperbots mit der Aufnahme eines umfangreichen Sets von DoS-Angriffsbefehlen offensichtlich geworden sind.

• Generische UDP-Flut
• TCP SYN-Flut
• TCP ACK-Flut
• TCP STOMP-Flut
• UDP SA:MP-Flut, die auf Spieleserver abzielt, die GTA San Andreas: Multi Player (SA:MP) ausführen
• GRE Ethernet-Flut
• GRE IP-Flut
• Generische TCP-Flut

Basierend auf den HTTP-Dos-Angriffen scheint die Malware auf Angriffe gegen die Spieleserver spezialisiert zu sein.

Dieser Angriff fügt DoS-Angriffe gegen das GRE-Protokoll und das UDP-Protokoll hinzu, das vom GTA San Andreas Multi Player (SA:MP)-Mod verwendet wird, sagt Fortinet.

Die Sicherheitsfirma glaubt, dass derselbe Betreiber alle entdeckten Raporbot-Angriffe betreibt, da die neue Variante auf den Zugriff auf den Quellcode der Malware und die C2-Kommunikationsprotokolle hinweist, die dieselben sind, und die Listen für das Brute-Forcing ebenfalls seit August 2021 gleich sind.

Lesen: Bösartige Erweiterung trifft Google Chrome; ermöglicht Hackern, remote die Kontrolle zu übernehmen