Операторы RapperBot использовали зараженные устройства для проведения UDP-атак на серверы GTA: San Andreas.

ИБ-специалисты из Fortinet FortiGuard Labs обнаружили новые образцы вредоносного ПО под названием RapperBot, которые используются для создания ботнета, способного запускать DDoS-атаки на игровые серверы. Стоит отметить, что именно они в августе этого года первыми засекли вредоноса. Тогда он был заточен только под брутфорс SSH-серверов Linux.

А в обновленной версии, обнаруженной специалистами Fortinet, появилось множество новых функций и возможностей:

  • Брутфорс Telnet. Исследователям эта возможность напомнила ботнет Mirai;

  • Возможность запуска DoS-атак через протокол туннелирования Generic Routing Encapsulation;

  • Возможность проведения UDP-атаки. Эту функцию операторы ботнета продемонстрировали, когда направили UDP-флуд на игровые серверы GTA: San Andreas.

Брутфорс Telnet. Исследователям эта возможность напомнила ботнет Mirai;

Возможность запуска DoS-атак через протокол туннелирования Generic Routing Encapsulation;

Возможность проведения UDP-атаки. Эту функцию операторы ботнета продемонстрировали, когда направили UDP-флуд на игровые серверы GTA: San Andreas.

Кроме того, теперь список жестко закодированных учетных данных (которые являются учетными данными для IoT-устройств по умолчанию) встроен в двоичный файл, а не загружается с С&С-сервера, как это было раньше. Если злоумышленнику удается взломать устройство, использованные для успешного взлома учетные данные отправляются на сервер хакеров, только после чего на устройство будет установлен RapperBot.

Как говорят представители Fortinet, вредонос предназначен только для устройств, которые работают на архитектурах ARM, MIPS, PowerPC, SH4 и SPARC. На чипсетах от Intel ботнет останавливает механизм самораспространения.

Более того, было обнаружено, что текущая кампания имеет много общих черт с другими более ранними хакерскими операциями, в ходе которых был использован RapperBot. Опираясь на это, исследователи сделали вывод, что RapperBot может управляться одной группировкой или разными хакерами, имеющими доступ к исходному коду.

Источник: securitylab