En ny version av botnätskadlig programvara RapperBot används för att rikta in sig på spelservrar med DDoS-attacker. IoT-enheter används som gateways för att nå servrarna.
Spelservrar riktade av DDoS-angripare
Hotaktörer använder RapperBot malware för att utföra distribuerade denial-of-service (DDoS) attacker på spelservrar. Linux-plattformar löper risk för attacker från detta mycket farliga botnät.
I en Fortinet blogginlägg, uppgavs att RapperBot sannolikt riktar sig mot spelservrar på grund av de specifika kommandon den stöder och bristen på frånvaro av HTTP-relaterade DDoS-attacker. IoT (Internet of Things) enheter är i riskzonen här, även om det verkar som att RapperBot är mer angelägen om att rikta in sig på äldre enheter utrustade med Qualcomm MDM9625-chipset.
RapperBot ser ut att rikta sig mot enheter som körs på ARM-, MIPS-, PowerPC-, SH4- och SPARC-arkitekturer, även om den inte är designad för att köras på Intel-kretsuppsättningar.
Detta är inte RapperBots debut
RapperBot är inte helt ny inom cyberbrottsområdet, även om det inte har funnits på flera år heller. RapperBot upptäcktes först i naturen i augusti 2022 av Fortinet, även om det sedan dess har bekräftats att det har varit i drift sedan maj föregående år. I det här fallet användes RapperBot för att lansera SSH brute-force attacker för att spridas på Linux-servrar.
Fortinet uppgav i det tidigare nämnda blogginlägget att den mest betydande skillnaden i denna uppdaterade version av RapperBot är "den fullständiga ersättningen av SSH brute forcering-koden med den mer vanliga Telnet likvärdig".
Denna Telnet-kod är designad för självförökning, som liknar och kan vara inspirerad av det gamla Mirai IoT-botnätet som körs på ARC-processorer. Mirai-källkoden läckte ut i slutet av 2016, vilket ledde till skapandet av många modifierade versioner (varav en kan vara RapperBot).
Men till skillnad från Mirai, är denna iteration av RapperBots inbäddade binära nedladdningar "lagrade som escaped byte-strängar, förmodligen för att förenkla analys och bearbetning inom koden", som det står i Fortinets blogginlägg om den nya versionen av botnät.
Botnets operatörer är inte kända
I skrivande stund förblir RapperBots operatörer anonyma. Fortinet uppgav dock att en enda illvillig aktör eller grupp av aktörer med tillgång till källkoden är de mest troliga scenarierna. Mer information om detta kan komma ut inom en snar framtid.
Det är också troligt att denna uppdaterade version av RapperBot sannolikt används av samma individer som körde den tidigare iterationen, eftersom de skulle behöva tillgång till källkoden för att utföra attacker.
RapperBots aktivitet fortsätter att övervakas
Fortinet avslutade sitt blogginlägg angående den uppdaterade RapperBot-varianten med att försäkra läsarna om att skadlig programvaras aktivitet kommer att övervakas i framtiden. Så vi kan fortsätta att se fler fall av RapperBots användning allt eftersom tiden går.
