Malware Mirai RapperBot Attacca i Server di Giochi Online con DDoS

Un Botnet Mirai, “Rapperbot,” che i ricercatori di Fortinet hanno notato, è tornato in auge attraverso una nuova campagna che infetta i dispositivi IoT per un attacco DDoS contro i server di giochi online.

I ricercatori di Fortinet hanno notato per la prima volta nel mese di agosto dello scorso anno quando ha utilizzato il brute forcing SSH (Server Socket Shell) per avanzare sui server Linux.

I ricercatori, tracciando le attività del RapperBotnet, hanno scoperto che il botnet è attivo dal maggio 2021 anche se il suo obiettivo era difficile da interpretare.

La nuova variante utilizza un sistema di auto-propagazione Telnet che è più vicino al metodo utilizzato dal malware originale. Inoltre, il motivo dietro questa campagna è ora chiaro poiché i comandi DDoS nella nuova variante sono personalizzati per gli attacchi ai server che ospitano giochi online.

Inoltre, i ricercatori di Fortinet sono stati in grado di campionare la nuova variante attraverso i resti dei comandi C2 ottenuti dalla campagna precedente suggerendo che le caratteristiche del funzionamento del botnet non sono cambiate.

Leggi: Russia con Amore Hacktivists Attacca le Organizzazioni Ucraino con Ransomware Somnia

L’analista della società di sicurezza ha osservato che la nuova variante aveva diverse differenze, che includevano il supporto per il brute forcing Tel tramite questi comandi!

• Registrati (utilizzato dal client)

• Keep-Alive/Fai nulla

• Ferma tutti gli attacchi DoS e termina il client

• Esegui un attacco DoS

• Ferma tutti gli attacchi DoS

• Riavvia il brute forcing Telnet

• Ferma il brute forcing Telnet

Ora il Malware cerca di fare brute force utilizzando le credenziali deboli familiari da un elenco hardcoded, mentre in precedenza, venivano recuperate dal C2.

Fortinet ha aggiunto che per ottimizzare l’effetto del brute forcing, il Rapperbot confronta la connessione del prompt del server con un elenco hardcoded di stringhe per identificare il possibile dispositivo e poi prova solo le credenziali conosciute per il dispositivo.

Quindi, a differenza del malware IoT avanzato, questo consente al Rapperbot di evitare di testare un elenco di credenziali complete, e dopo aver localizzato con successo le credenziali, il malware riporta al C2 tramite la porta 5123 e poi cerca di raccogliere e installare l’ultima versione del payload binario principale per l’architettura del dispositivo identificato.

Attualmente, l’architettura supportata è ARM, MIPS, PowerPC, SH4 e SPARC.

Inoltre, la capacità nella versione precedente di RapperBot era così limitata e comune che gli analisti hanno ipotizzato che gli attaccanti potessero essere più interessati all’accesso iniziale, anche se, con l’ultima versione, le caratteristiche accurate del Rapperbot sono diventate ovvie con l’inclusione di un ampio set di comandi per attacchi DoS.

• Inondazione UDP generica

• Inondazione TCP SYN

• Inondazione TCP ACK

• Inondazione TCP STOMP

• Inondazione UDP SA:MP mirata ai server di gioco che eseguono GTA San Andreas: Multi Player (SA:MP)

• Inondazione GRE Ethernet

• Inondazione GRE IP

• Inondazione TCP generica

Basato sugli attacchi HTTP Dos, il malware sembra essere specializzato in attacchi contro i server di gioco.

Questo attacco aggiunge attacchi DoS contro il protocollo GRE e il protocollo UDP utilizzato dal mod GTA San Andreas Multi Player (SA: MP), ha affermato Fortinet.

La società di sicurezza crede che lo stesso operatore gestisca tutti gli attacchi Raporbot scoperti poiché la nuova variante suggerisce l’accesso al codice sorgente del malware e i protocolli di comunicazione C2 sono gli stessi, e le liste di brute force sono le stesse dal mese di agosto 2021.

Leggi: Estensione Maligna Colpisce Google Chrome; Permettendo agli Hacker di Prendere il Controllo Remotamente