Malware Mirai RapperBot Attaque les Serveurs de Jeux en Ligne avec DDoS

Un botnet Mirai, “Rapperbot,” que les chercheurs de Fortinet ont remarqué, a fait son retour à travers une nouvelle campagne qui infecte les appareils IoT pour une attaque DDoS contre les serveurs de jeux en ligne.

Les chercheurs de Fortinet ont d’abord remarqué en août de l’année dernière qu’il utilisait le brute forcing SSH (Server Socket Shell) pour progresser sur les serveurs Linux.

En suivant les activités du RapperBotnet, les chercheurs ont découvert que le botnet était actif depuis mai 2021 bien que son objectif soit difficile à interpréter.

La nouvelle variante utilise un système d’auto-propagation Telnet qui est plus proche de la méthode utilisée par le malware original. De plus, la raison derrière cette campagne est maintenant claire car les commandes DDoS dans la nouvelle variante sont personnalisées pour les attaques sur les serveurs qui hébergent des jeux en ligne.

En outre, les chercheurs de Fortinet ont pu échantillonner la nouvelle variante grâce aux reliques des commandes C2 obtenues lors de la campagne précédente, suggérant que les caractéristiques du fonctionnement du botnet n’ont pas changé.

Lire: Russie avec Amour Les attaques des hacktivistes contre les organisations ukrainiennes avec le ransomware Somnia

L’analyste de la société de sécurité a observé que la nouvelle variante avait plusieurs différences, qui comprenaient le support du brute forcing Tel via ces commandes !

• Enregistrer (utilisé par le client)

• Garder en vie / Ne rien faire

• Arrêter toutes les attaques DoS et terminer le client

• Effectuer une attaque DoS

• Arrêter toutes les attaques DoS

• Redémarrer le brute forcing Telnet

• Arrêter le brute forcing Telnet

Maintenant, le malware essaie de brute forcer en utilisant les identifiants faibles familiers d’une liste codée en dur, alors qu’auparavant, ils étaient récupérés depuis le C2.

Fortinet a ajouté que pour optimiser l’effet du brute forcing, le Rapperbot compare la connexion de l’invite du serveur à une liste de chaînes codées en dur pour identifier le périphérique possible et essaie ensuite uniquement les identifiants connus pour le périphérique.

Ainsi, contrairement aux malwares IoT avancés, cela permet au Rapperbot d’éviter de tester une liste complète d’identifiants, et après avoir localisé avec succès les identifiants, le malware fait un rapport au C2 via le port 5123 et essaie ensuite de collecter et d’installer la dernière version du binaire principal de charge utile pour l’architecture de périphérique identifiée.

Actuellement, l’architecture prise en charge est ARM, MIPS, PowerPC, SH4 et SPARC.

De plus, la capacité dans l’ancienne version de RapperBot était si limitée et commune que les analystes ont spéculé que les attaquants pourraient être plus intéressés par l’accès initial, bien qu’avec la dernière version, les caractéristiques précises du Rapperbot soient devenues évidentes avec l’inclusion d’un ensemble étendu de commandes d’attaques DoS.

• Inondation UDP générique

• Inondation TCP SYN

• Inondation TCP ACK

• Inondation TCP STOMP

• Inondation UDP SA:MP ciblant les serveurs de jeux exécutant GTA San Andreas: Multi Player (SA:MP)

• Inondation GRE Ethernet

• Inondation GRE IP

• Inondation TCP générique

Basé sur les attaques HTTP Dos, le malware semble être spécialisé dans les attaques contre les serveurs de jeux.

Cette attaque ajoute des attaques DoS contre le protocole GRE et le protocole UDP utilisé par le mod GTA San Andreas Multi Player (SA: MP), a déclaré Fortinet.

La société de sécurité croit que le même opérateur gère toutes les attaques Raporbot découvertes car la nouvelle variante suggère un accès au code source du malware et que les protocoles de communication C2 sont les mêmes, et que les listes de brute force sont également les mêmes depuis août 2021.

Lire: Extension malveillante frappe Google Chrome ; permettant aux hackers de prendre le contrôle à distance