Logiciel malveillant RapperBot

Les chercheurs d'Infosec ont identifié un dangereux malware IoT (Internet des objets), suivi sous le nom de RapperBot. L'analyse de la menace a révélé que ses créateurs ont largement utilisé le code source du tristement célèbre Mirai Botnet . La menace Mirai a été utilisée dans plusieurs attaques de grande envergure avant que son code source ne soit divulgué au public en octobre 2016. Depuis lors, les chercheurs en cybersécurité ont identifié plus de 60 variantes de botnet et de logiciels malveillants en utilisant Mirai comme base. Cependant, en ce qui concerne RapperBot, la menace affiche plusieurs écarts majeurs par rapport au comportement typique de Mirai.

Des détails sur RapperBot ont été publiés récemment dans un rapport de chercheurs en sécurité. Selon leurs conclusions, la menace est active depuis juin 2022 et connaît un développement rapide. La menace de botnet utilise des tactiques de force brute pour prendre pied sur les serveurs Linux SSH, contrairement à l'implémentation plus typique de Mirai qui cible les serveurs Telnet.

Selon le rapport, RapperBot développe rapidement ses serveurs SSH asservis avec plus de 3 500 adresses IP uniques scannant Internet et forçant brutalement leur chemin vers de nouvelles victimes. RapperBot semble également avoir abandonné ses techniques d'auto-propagation de type Mira au profit de méthodes davantage basées sur la persistance. Par conséquent, la menace peut rester sur le système infecté même après un redémarrage ou une tentative de suppression par les victimes.

L'accès aux serveurs piratés se fait via l'ajout de la clé publique SSH des opérateurs. La clé est injectée dans un fichier spécifique appelé '~/.ssh/authorized_keys.' Ensuite, les acteurs de la menace pourront se connecter librement au serveur et s'authentifier en utilisant uniquement la clé privée correspondante sans avoir à fournir de mot de passe. Cette technique maintiendra l'accès au serveur même si les informations d'identification SSH sont mises à jour ou si l'authentification par mot de passe SSH est désactivée. De plus, en remplaçant le fichier légitime, les cybercriminels ont supprimé toutes les clés autorisées actuellement existantes, empêchant les utilisateurs légitimes d'accéder avec succès au serveur SSH compromis via l'authentification par clé publique.

Les objectifs des opérateurs de RapperBot Malware restent nébuleux. Par exemple, les acteurs de la menace suppriment complètement les capacités DDoS (Distributed Denial-of-Service) de la menace, juste pour réintroduire ces dernières, sous une forme limitée.