Een nieuwe versie van botnet-malware RapperBot wordt gebruikt om gameservers aan te vallen met DDoS-aanvallen. IoT-apparaten worden gebruikt als gateways om de servers te bereiken.
Gameservers doelwit van DDoS-aanvallers
Bedreigingsactoren gebruiken RapperBot-malware om gedistribueerde aanvallen uit te voeren denial-of-service (DDoS) aanvallen op gameservers. Linux-platforms lopen het risico te worden aangevallen door dit zeer gevaarlijke botnet.
In een Fortinet-blogpost, werd gesteld dat RapperBot waarschijnlijk gericht is op gameservers vanwege de specifieke commando's die het ondersteunt en het gebrek aan afwezigheid van HTTP-gerelateerde DDoS-aanvallen. IoT (internet der dingen) apparaten lopen hier risico, hoewel het lijkt dat RapperBot zich meer bezighoudt met het richten op oudere apparaten die zijn uitgerust met de Qualcomm MDM9625-chipset.
RapperBot lijkt zich te richten op apparaten die draaien op ARM-, MIPS-, PowerPC-, SH4- en SPARC-architecturen, hoewel het niet is ontworpen om op Intel-chipsets te draaien.
Dit is niet het debuut van RapperBot
RapperBot is niet helemaal nieuw op het gebied van cybercriminaliteit, hoewel het ook al jaren niet meer bestaat. RapperBot werd in augustus 2022 voor het eerst in het wild opgemerkt door Fortinet, hoewel sindsdien is bevestigd dat het sinds mei van het voorgaande jaar in gebruik is. In dit geval werd RapperBot gebruikt om SSH te lanceren aanvallen met brute kracht verspreiden op Linux-servers.
Fortinet stelde in de eerder genoemde blogpost dat het belangrijkste verschil in deze bijgewerkte versie zit van RapperBot is "de volledige vervanging van de SSH brute forcing-code door het meer gebruikelijke Telnet equivalent".
Deze Telnet-code is ontworpen voor zelfverspreiding, die sterk lijkt op en mogelijk is geïnspireerd door het oude Mirai IoT-botnet dat draait op ARC-processors. De Mirai-broncode lekte eind 2016 uit, wat leidde tot de creatie van talloze gewijzigde versies (waarvan er één mogelijk RapperBot is).
Maar in tegenstelling tot Mirai wordt deze iteratie van RapperBot's ingebedde binaire downloaders "opgeslagen als ontsnapte bytestrings, waarschijnlijk om vereenvoudig het parseren en verwerken binnen de code", zoals vermeld in de Fortinet-blogpost over de nieuwe versie van het botnet.
De operators van het botnet zijn niet bekend
Op het moment van schrijven blijven de operators van RapperBot anoniem. Wel stelde Fortinet dat een enkele kwaadwillende actor of een groep actoren met toegang tot de broncode de meest waarschijnlijke scenario's zijn. Meer informatie hierover kan in de nabije toekomst naar buiten komen.
Het is ook waarschijnlijk dat deze bijgewerkte versie van RapperBot waarschijnlijk door dezelfde personen wordt gebruikt die de vorige iteratie heeft uitgevoerd, omdat ze toegang tot de broncode nodig hebben om uit te voeren aanvallen.
De activiteit van RapperBot wordt nog steeds gecontroleerd
Fortinet beëindigde zijn blogpost over de bijgewerkte RapperBot-variant door lezers te verzekeren dat de activiteit van de malware in de toekomst zal worden gecontroleerd. Het is dus mogelijk dat we in de loop van de tijd meer voorbeelden van het gebruik van RapperBot blijven zien.
