Blog

El malware RapperBot ha recibido una actualización y se dirige a servidores de videojuegos para realizar ataques DDoS

La botnet basada en Mirai, RapperBot, ha resurgido nuevamente a través de una nueva campaña que llega a comprometer a múltiples dispositivos IoT para realizar ataques de Denegación de Servicios Distribuidos (DDoS) contra servidores de videojuegos.

El malware fue descubierto por los investigadores de Fortinet el pasado mes de agosto, cuando se detectó que utilizaba la fuerza bruta por el protocolo SSH para propagarse en los servidores Linux. Al rastrear sus actividades, los investigadores descubrieron que RapperBot ha estado operativo desde mayo de 2021, pero sus principales objetivos eran difíciles de identificar.

Imagen: Fortinet

La variante reciente utiliza un mecanismo de auto propagación vía Telnet en su lugar, que está más cerca del enfoque que realizaba la botnet de Mirai original para comprometer a diferentes dispositivos IoT en base a Linux. Además, la motivación de la campaña actual es más evidente, ya que los comandos DoS en la última variante están diseñados para realizar ataques contra servidores de videojuegos de diferentes categorías.

Los analistas de Fortinet podrían probar la nueva variante utilizando artefactos de comunicación C2 recopilados en las campañas anteriores, lo que indica que este aspecto de la operación de la botnet no ha cambiado.

Los analistas notaron que la nueva variante presentaba varias diferencias, incluido el soporte para la fuerza bruta Telnet, utilizando los siguientes comandos:

  • 0x00: Register (used by the client).
  • 0x01: Keep-Alive/Do nothing.
  • 0x02: Stop all DoS attacks and terminate the client.
  • 0x03: Perform a DoS attack.
  • 0x04: Stop all DoS attacks.
  • 0x06: Restart Telnet brute forcing.
  • 0x07: Stop Telnet brute forcing.

El malware intenta usar la técnica de la fuerza bruta, utilizando credenciales débiles comunes de una lista codificada, mientras que anteriormente, obtenía una lista del C2.

Imagen: Fortinet

«Para optimizar los esfuerzos de fuerza bruta, el malware compara el indicador del servidor al conectarse con una lista codificada de cadenas para identificar el posible dispositivo y luego solo prueba las credenciales conocidas para ese dispositivoA diferencia del malware IoT menos sofisticado, esto permite que el malware evite intentar probar una lista completa de credenciales«, explica Fortinet.

Después de encontrar las credenciales, lo informa al C2 a través del puerto 5123 y luego intenta obtener e instalar la versión correcta del binario del payload principal para la arquitectura del dispositivo detectado. Las arquitecturas soportadas actualmente por la botnet son ARM, MIPS, PowerPC, SH4 y SPARC.

Fortinet cree que todas las campañas de RapperBot detectadas están orquestadas por los mismos operadores, ya que las variantes más nuevas indican acceso al código fuente del malware.

Además, el protocolo de comunicación C2 permanece sin cambios, la lista de credenciales utilizadas para los intentos de fuerza bruta ha sido la misma desde agosto de 2021, y no ha habido signos de superposiciones de campaña hasta este momento.

Para proteger sus dispositivos IoT de infecciones de botnets, realize las siguientes recomendaciones:

  • Mantenga el firmware actualizado.
  • Cambie las credenciales predefinidas por una más robusta y larga.
  • Coloque los dispositivos IoT detrás de un firewall si es posible.

IOCs (Indicadores de Compromiso):

Archivos

3d5c5d9e792e0a5f3648438b7510b284f924ab433f08d558b6e082e1d5414a03
7afcac5f71e9205879e0e476d3388898a62e7aa4a3e4a059884f40ea36cfd57f
8ec79a35700f6691f0d88d53647e9f2b75648710ecd119e55815331fc3bdd0b5
a12ad4bc394d60bc037271e1c2df1bd2b87bdaaba85f6c1b7d046341f027cc2d
f000bf482040b48595badee1fc56afb95449ac48b5dc35fe3a05542cbf18f658
4aa9175c1846557107ec197ea73d4cc8dbe6d575a8fd86ae214ff9b3a00e438b
f98261eb7dc122449c158118cc9c660683206983a9e90ff73eb88c4705e0c48e

URLs de Descarga

hxxp://185[.]216[.]71[.]149/armv4l

hxxp://185[.]216[.]71[.]149/armv5l

hxxp://185[.]216[.]71[.]149/armv6l

hxxp://185[.]216[.]71[.]149/armv7l

hxxp://185[.]216[.]71[.]149/mips

hxxp://185[.]216[.]71[.]149/mipsel

hxxp://185[.]216[.]71[.]149/powerpc

hxxp://185[.]216[.]71[.]149/sparc

hxxp://185[.]216[.]71[.]149/sh4

hxxp://185[.]216[.]71[.]149/bot_arm4_el

hxxp://185[.]216[.]71[.]149/bot_arm5_el

hxxp://185[.]216[.]71[.]149/bot_arm6_el

hxxp://185[.]216[.]71[.]149/bot_arm7_el

hxxp://185[.]216[.]71[.]149/bot_mips_eb

hxxp://185[.]216[.]71[.]149/bot_mips_el

hxxp://185[.]216[.]71[.]149/bot_sh_el

C2

185[.]216[.]71[.]149

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required