RapperBot マルウェア

Infosec の研究者は、RapperBot として追跡される危険な IoT (モノのインターネット) マルウェアを特定しました。脅威の分析により、その作成者が悪名高いMirai ボットネットのソース コードを多用していることが明らかになりました。 Mirai の脅威は、2016 年 10 月にソース コードが公開されるまで、いくつかの有名な攻撃で使用されていました。それ以来、サイバーセキュリティの研究者は、Mirai をベースとして 60 を超えるボットネットとマルウェアの亜種を特定しました。ただし、RapperBot に関して言えば、脅威は典型的な Mirai の動作からいくつかの大きな逸脱を示しています。

RapperBot に関する詳細は、最近のセキュリティ研究者によるレポートで公開されました。彼らの調査結果によると、この脅威は 2022 年 6 月から活動しており、急速に発展しています。ボットネットの脅威は、Telnet サーバーを標的とするより一般的な Mirai 実装とは異なり、ブルート フォース戦術を使用して Linux SSH サーバーに足場を築きます。

レポートによると、RapperBot はその奴隷化された SSH サーバーを急速に成長させており、3,500 を超える一意の IP アドレスでインターネットをスキャンし、新しい被害者にブルート フォース攻撃を仕掛けています。また、RapperBot は、Mira のような自己増殖技術を捨てて、より持続性に基づく方法を採用しているようです。その結果、被害者が再起動または削除を試みた後でも、感染したシステムに脅威が残る可能性があります。

侵害されたサーバーへのアクセスは、オペレーターの SSH 公開鍵を追加することで実現されます。キーは「~/.ssh/authorized_keys」という特定のファイルに挿入されます。その後、攻撃者はサーバーに自由に接続し、パスワードを提供する必要なく、対応する秘密鍵のみを使用して認証できるようになります。この手法により、SSH 資格情報が更新された場合や SSH パスワード認証が無効になった場合でも、サーバーへのアクセスが維持されます。さらに、サイバー犯罪者は正当なファイルを置き換えることで、現在存在するすべての承認済みキーを削除し、正当なユーザーが侵害された SSH サーバーに公開鍵認証を介して正常にアクセスできないようにしました。

RapperBot Malware のオペレーターの目的は依然として曖昧です。たとえば、脅威アクターは、脅威の DDoS (分散型サービス拒否) 機能を完全に削除し、後者を限定的な形で再導入します。