Το κακόβουλο λογισμικό RapperBot DDoS προσθέτει το cryptojacking ως νέα ροή εσόδων

Νέα δείγματα του κακόβουλου λογισμικού botnet RapperBot έχουν προσθέσει δυνατότητες cryptojacking στην εξόρυξη για κρυπτονομίσματα σε παραβιασμένες μηχανές Intel x64.

Η αλλαγή έγινε σταδιακά, με τους προγραμματιστές να προσθέτουν πρώτα το στοιχείο κρυπτονομίας ξεχωριστά από το κακόβουλο λογισμικό botnet. Προς τα τέλη Ιανουαρίου, οι λειτουργίες botnet και cryptomining συνδυάστηκαν σε μια ενιαία μονάδα.

Νέα εκστρατεία εξόρυξης RapperBot

Ερευνητές στα εργαστήρια FortiGuard της Fortinet παρακολουθούσαν τη δραστηριότητα του RapperBot από τον Ιούνιο του 2022 και ανέφεραν ότι το botnet που βασίζεται στο Mirai επικεντρώθηκε σε διακομιστές Linux SSH που εξαναγκάζουν ωμούς για να τους στρατολογήσουν για την εκτόξευση κατανεμημένων επιθέσεων άρνησης υπηρεσίας (DDoS).

Τον Νοέμβριο, οι ερευνητές βρήκαν μια ενημερωμένη έκδοση του RapperBot που χρησιμοποιούσε μηχανισμό αυτοδιάδοσης Telnet και περιλάμβανε εντολές DoS που ήταν πιο κατάλληλες για επιθέσεις σε διακομιστές παιχνιδιών.

Τα εργαστήρια FortiGuard ανέφεραν αυτήν την εβδομάδα για μια ενημερωμένη παραλλαγή του RapperBot που χρησιμοποιεί το XMRig Monero miner σε αρχιτεκτονικές Intel x64.

Η εταιρεία κυβερνοασφάλειας λέει ότι αυτή η καμπάνια είναι ενεργή από τον Ιανουάριο και στοχεύει κυρίως συσκευές IoT.

Ο κώδικας του ανθρακωρύχου είναι πλέον ενσωματωμένος στο RapperBot, με ασαφή κωδικοποίηση XOR διπλής στρώσης, η οποία κρύβει αποτελεσματικά τις ομάδες εξόρυξης και τις διευθύνσεις εξόρυξης Monero από τους αναλυτές.

Η FortiGuard Labs διαπίστωσε ότι το bot λαμβάνει τη διαμόρφωση εξόρυξής του από τον διακομιστή εντολών και ελέγχου (C2) αντί να έχει κωδικοποιημένες στατικές διευθύνσεις συγκέντρωσης και χρησιμοποιεί πολλαπλές ομάδες και πορτοφόλια για πλεονασμό.

Η διεύθυνση IP C2 φιλοξενεί ακόμη και δύο proxies εξόρυξης για περαιτέρω συσκότιση του ίχνους. Εάν το C2 βγει εκτός σύνδεσης, το RapperBot έχει ρυθμιστεί να χρησιμοποιεί μια δημόσια πισίνα εξόρυξης.

Για να μεγιστοποιήσει την απόδοση εξόρυξης, το κακόβουλο λογισμικό απαριθμεί διεργασίες που εκτελούνται στο σύστημα που έχει παραβιαστεί και τερματίζει αυτές που αντιστοιχούν σε ανταγωνιστές εξορύκτες.

Στην πιο πρόσφατη αναλυμένη έκδοση του RapperBot, το πρωτόκολλο δυαδικού δικτύου για την επικοινωνία C2 έχει ανανεωθεί για να χρησιμοποιήσει μια προσέγγιση κωδικοποίησης δύο επιπέδων για την αποφυγή ανίχνευσης από τις οθόνες κίνησης δικτύου.

Επίσης, το μέγεθος και τα διαστήματα των αιτημάτων που αποστέλλονται στον διακομιστή C2 τυχαιοποιούνται για να κάνουν την ανταλλαγή πιο κρυφή, κάνοντας έτσι εύκολα αναγνωρίσιμα μοτίβα.

Ενώ οι ερευνητές δεν παρατήρησαν εντολές DDoS που στάλθηκαν από τον διακομιστή C2 στα δείγματα που αναλύθηκαν, ανακάλυψαν ότι η τελευταία έκδοση bot υποστηρίζει τις ακόλουθες εντολές:

• Εκτελέστε επιθέσεις DDoS (UDP, TCP και HTTP GET)
• Σταματήστε τις επιθέσεις DDoS
• Τερματισμός (και τυχόν θυγατρικές διαδικασίες)

Το RapperBot φαίνεται να εξελίσσεται γρήγορα και να επεκτείνει τη λίστα των χαρακτηριστικών για να μεγιστοποιήσει τα κέρδη του χειριστή.

Για την προστασία των συσκευών από το RapperBot και παρόμοιο κακόβουλο λογισμικό, συνιστάται στους χρήστες να ενημερώνουν το λογισμικό, να απενεργοποιούν τις περιττές υπηρεσίες, να αλλάζουν τους προεπιλεγμένους κωδικούς πρόσβασης σε κάτι ισχυρό και να χρησιμοποιούν τείχη προστασίας για να αποκλείουν μη εξουσιοδοτημένα αιτήματα.