Mirai RapperBotマルウェアがオンラインゲームサーバーにDDoS攻撃

Fortinetの研究者が注目したMiraiボットネット「Rapperbot」が、オンラインゲームサーバーに対するDDoS攻撃のためにIoTデバイスを感染させる新しいキャンペーンを通じて再登場しました。

Fortinetの研究者は、昨年の8月にLinuxサーバーに対してSSH（Server Socket Shell）ブルートフォースを使用して進行しているのを最初に発見しました。

研究者たちはRapperBotnetの活動を追跡することで、このボットネットが2021年5月から活動していることを突き止めましたが、その目的は解釈が難しいものでした。

新しいバリアントは、元のマルウェアで使用されていた方法に近いTelnet自己伝播システムを使用しています。また、このキャンペーンの背後にある理由は明確で、新しいバリアントのDDoSコマンドはオンラインゲームをホストするサーバーへの攻撃にカスタマイズされています。

さらに、Fortinetの研究者は、以前のキャンペーンから得られたC2コマンドの遺物を通じて新しいバリアントをサンプリングすることができ、ボットネットの機能の特性は変わっていないことを示唆しています。

読む: ロシアからの愛 ハクティビストがウクライナの組織にSomniaランサムウェアで攻撃

セキュリティ企業のアナリストは、新しいバリアントにはいくつかの違いがあり、これらのコマンドを通じてTelブルートフォースをサポートしていることを観察しました！

• クライアントによって使用される登録
• キープアライブ/何もしない
• すべてのDoS攻撃を停止し、クライアントを終了する
• DoS攻撃を実行する
• すべてのDoS攻撃を停止する
• Telnetブルートフォースを再起動する
• Telnetブルートフォースを停止する

現在、マルウェアはハードコーディングされたリストからの馴染みのある弱い資格情報を使用してブルートフォースを試みていますが、以前はC2から取得されていました。

Fortinetは、ブルートフォース効果を最適化するために、Rapperbotがサーバープロンプト接続をハードコーディングされた文字列のリストと比較して可能なデバイスを特定し、その後にのみデバイスの既知の資格情報を試みることを追加しました。

したがって、高度なIoTマルウェアとは異なり、これによりRapperbotは完全な資格情報のリストをテストすることを避けることができ、資格情報を成功裏に特定した後、マルウェアはポート5123を介してC2に報告し、特定されたデバイスアーキテクチャの最新バージョンのメインペイロードバイナリを収集してインストールしようとします。

現在、サポートされているアーキテクチャはARM、MIPS、PowerPC、SH4、およびSPARCです。

さらに、RapperBotの古いバージョンの機能は非常に限られており一般的であったため、アナリストは攻撃者が初期アクセスにより興味を持っている可能性があると推測しましたが、最新のバージョンでは、DoS攻撃コマンドの広範なセットの追加によりRapperbotの正確な特性が明らかになりました。

• 一般的なUDPフラッド
• TCP SYNフラッド
• TCP ACKフラッド
• TCP STOMPフラッド
• GTAサンアンドレアス：マルチプレイヤー（SA：MP）を実行するゲームサーバーをターゲットにしたUDP SA:MPフラッド
• GREイーサネットフラッド
• GRE IPフラッド
• 一般的なTCPフラッド

HTTP DoS攻撃に基づくと、マルウェアはゲームサーバーに対する攻撃に特化しているようです。

この攻撃は、Fortinetによれば、GTAサンアンドレアスマルチプレイヤーモッド（SA：MP）で使用されるGREプロトコルおよびUDPプロトコルに対するDoS攻撃を追加します。

セキュリティ企業は、すべての発見されたRapperbot攻撃が同じオペレーターによって運営されていると考えており、新しいバリアントはマルウェアのソースコードへのアクセスとC2通信プロトコルが同じであり、ブルートフォースのリストも2021年8月以来同じであることを示唆しています。

読む: 悪意のある拡張機能がGoogle Chromeを攻撃; ハッカーがリモートで制御を奪うことを許可