RapperBot DDoS マルウェアにより、クリプトジャッキングが新たな収益源となる
RapperBot ボットネット マルウェアの新しいサンプルには、侵害された Intel x64 マシン上で暗号通貨をマイニングするためのクリプトジャッキング機能が追加されました。
この変更は徐々に発生し、開発者は最初にボットネット マルウェアとは別にクリプトマイニング コンポーネントを追加しました。 1 月末にかけて、ボットネットとクリプトマイニングの機能が 1 つのユニットに統合されました。
フォーティネットの FortiGuard Labs の研究者は、2022 年 6 月から RapperBot の活動を追跡しており、Mirai ベースのボットネットは、分散型サービス拒否 (DDoS) 攻撃を開始するために Linux SSH サーバーを勧誘するブルートフォース攻撃に焦点を当てていたと報告しました。
11月に研究者らは、Telnetの自己伝播メカニズムを使用し、ゲームサーバーへの攻撃に適したDoSコマンドを含むRapperBotの更新バージョンを発見した。
FortiGuard Labs は今週、Intel x64 アーキテクチャ上で XMRig Monero マイナーを使用する RapperBot の更新された亜種について報告しました。
サイバーセキュリティ会社によると、このキャンペーンは1月から活動しており、主にIoTデバイスをターゲットにしているという。
マイナーのコードは RapperBot に統合され、二層 XOR エンコーディングで難読化され、マイニング プールと Monero マイニング アドレスがアナリストから効果的に隠蔽されます。
FortiGuard Labs は、ボットがハードコードされた静的プール アドレスを持たずにコマンド アンド コントロール (C2) サーバーからマイニング設定を受信し、冗長性のために複数のプールとウォレットを使用していることを発見しました。
C2 IP アドレスは、トレースをさらに難読化するために 2 つのマイニング プロキシもホストします。 C2 がオフラインになると、RapperBot はパブリック マイニング プールを使用するように構成されます。
マイニングのパフォーマンスを最大化するために、マルウェアは侵害されたシステム上で実行中のプロセスを列挙し、競合他社のマイナーに対応するプロセスを終了します。
RapperBot の最新の分析バージョンでは、C2 通信用のバイナリ ネットワーク プロトコルが改良され、2 層エンコーディング アプローチを使用してネットワーク トラフィック モニターからの検出を回避しています。
また、C2 サーバーに送信されるリクエストのサイズと間隔は、交換をよりステルスにするためにランダム化されているため、簡単に認識できるパターンが作成されます。
研究者らは、C2 サーバーから分析されたサンプルに送信された DDoS コマンドを観察しませんでしたが、最新のボット バージョンが次のコマンドをサポートしていることを発見しました。
RapperBot は急速に進化しており、オペレーターの利益を最大化するために機能のリストを拡張しているようです。
RapperBot や同様のマルウェアからデバイスを保護するために、ユーザーはソフトウェアを常に最新の状態に保ち、不要なサービスを無効にし、デフォルトのパスワードを強力なものに変更し、ファイアウォールを使用して不正なリクエストをブロックすることをお勧めします。
新しい Horabot キャンペーンが被害者の Gmail、Outlook アカウントを乗っ取る
新しい DDoS ボットネット マルウェアによって悪用された重大な Ruckus RCE の欠陥
FBI、ロシアのSnakeデータ窃盗マルウェアを自己破壊コマンドで核攻撃
新しい Atomic macOS 情報窃取マルウェアは 50 の暗号通貨ウォレットを標的に
TP-Link Archer WiFi ルーターの欠陥が Mirai マルウェアによって悪用される
2 つのペイロードを個別にフェッチする Bash スクリプト エンコードされた被害者登録リクエスト