Hackernews 编译,转载请注明出处:
网络安全研究人员发现了名为RapperBot恶意软件的新样本,这些恶意软件正被用来构建一个僵尸网络,能够对游戏服务器发起分布式拒绝服务(DDoS)攻击。
Fortinet FortiGuard实验室的研究人员Joie Salvio和Roy Tay在周二的一份报告中表示:“事实上,这个活动不像是RapperBot,而更像是一场在2月份出现,然后在4月中旬神秘消失的运动。”
网络安全公司在2022年8月首次记录了RapperBot,据悉它专门对配置为接受密码认证的SSH服务器进行强制操作。
这种新生的恶意软件受到Mirai僵尸网络的极大启发,其源代码于2016年10月泄露,导致了多个变种的出现。
RapperBot的更新版本值得注意的是,除了支持使用通用路由封装(GRE)隧道协议的DoS攻击,以及针对运行《侠盗猎车手:圣安德烈亚斯》的游戏服务器的UDP flood攻击外,它还能够执行Telnet暴力攻击。
研究人员说:“Telnet暴力强制代码主要是为自我传播而设计的,类似于旧的Mirai Satori僵尸网络。”
该硬编码明文凭证列表是与物联网设备相关的默认凭证,被嵌入到二进制文件中,而不是从命令和控制(C2)服务器检索,这是在2022年7月之后检测到的工件中观察到的行为。
成功侵入之后,将使用的凭据报告回C2服务器,并在被黑客入侵的设备上安装RapperBot有效负载。
Fortinet表示,该恶意软件只针对运行在ARM、MIPS、PowerPC、SH4和SPARC架构上的设备,如果这些设备运行在Intel芯片组上,则停止其自我传播机制。
更重要的是,早在2021年5月,就发现2022年10月的活动与涉及恶意软件的其他操作存在重叠,Telnet扩展器模块于2021年8月首次出现,但在随后的示例中被删除,并于上月重新引入。
研究人员总结道:“基于这个新活动与之前报道的RapperBot活动之间不可否认的相似性,它们很可能是由单个黑客或由不同的黑客操作的,可以访问私人共享的基本源代码。”
消息来源:TheHackerNews,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文