Malware RapperBot Mirai атакует онлайн-игровые серверы с помощью DDoS

Ботнет Mirai, “Rapperbot,” который заметили исследователи Fortinet, снова вернулся через новую кампанию, которая заражает IoT-устройства для DDoS-атаки на онлайн-игровые серверы.

Исследователи Fortinet впервые заметили это в августе прошлого года, когда он использовал брутфорс SSH (Server Socket Shell) для атаки на серверы Linux.

Исследователи, отслеживая действия RapperBotnet, выяснили, что ботнет активен с мая 2021 года, хотя его цели было трудно интерпретировать.

Новый вариант использует систему самораспространения Telnet, которая ближе к методу, использованному оригинальным вредоносным ПО. Также причина этой кампании теперь ясна, так как команды DDoS в новом варианте настроены для атак на серверы, которые хостят онлайн-игры.

Более того, исследователи Fortinet смогли проанализировать новый вариант через реликты команд C2, полученные из предыдущей кампании, что предполагает, что характеристики функционирования ботнета не изменились.

Читать: Россия с любовью: Хактивисты атакуют украинские организации с помощью программ-вымогателей Somnia

Аналитик компании безопасности заметил, что новый вариант имел несколько отличий, включая поддержку брутфорса Tel через эти команды!

• Регистрация (используется клиентом)

• Поддержка/Ничего не делать

• Остановить все DoS-атаки и завершить клиент

• Выполнить DoS-атаку

• Остановить все DoS-атаки

• Перезапустить брутфорс Telnet

• Остановить брутфорс Telnet

Теперь вредоносное ПО пытается выполнить брутфорс, используя знакомые слабые учетные данные из жестко закодированного списка, в то время как ранее они загружались из C2.

Fortinet добавил, что для оптимизации эффекта брутфорса Rapperbot сравнивает подключение к серверу с жестко закодированным списком строк, чтобы идентифицировать возможное устройство, а затем только пробует известные учетные данные для этого устройства.

Таким образом, в отличие от продвинутого IoT-вредоносного ПО, это позволяет Rapperbot избежать тестирования полного списка учетных данных, и после успешного нахождения учетных данных вредоносное ПО отправляет отчет обратно в C2 через порт 5123, а затем пытается собрать и установить последнюю версию основного бинарного полезного груза для идентифицированной архитектуры устройства.

В настоящее время поддерживаемая архитектура включает ARM, MIPS, PowerPC, SH4 и SPARC.

Более того, возможности старой версии RapperBot были настолько ограничены и общими, что аналитики предположили, что злоумышленники могут быть более заинтересованы в первоначальном доступе, хотя с последней версией точные характеристики Rapperbot стали очевидными с включением обширного набора команд DoS-атак.

• Генерирующий UDP-флуд

• TCP SYN-флуд

• TCP ACK-флуд

• TCP STOMP-флуд

• UDP SA:MP-флуд, нацеленный на игровые серверы, работающие на GTA San Andreas: Multi Player (SA:MP)

• GRE Ethernet-флуд

• GRE IP-флуд

• Генерирующий TCP-флуд

Основываясь на HTTP DoS-атаках, вредоносное ПО, похоже, специализировано на атаках против игровых серверов.

Эта атака добавляет DoS-атаки против протокола GRE и протокола UDP, используемого модом GTA San Andreas Multi Player (SA: MP), сообщает Fortinet.

Компания безопасности считает, что один и тот же оператор управляет всеми обнаруженными атаками Raporbot, так как новый вариант предполагает доступ к исходному коду вредоносного ПО, а протоколы связи C2 одинаковы, и списки брутфорса также одинаковы с августа 2021 года.

Читать: Вредоносное расширение поражает Google Chrome; позволяя хакерам удаленно захватывать управление