Linux-Malware "RapperBot" zwingt SSH-Server zum Einbruch

Die Bedrohungsjäger von Fortinet haben ein neues Botnetz mit dem Namen "RapperBot" aufgedeckt. Die Malware, die seit Mitte Juni 2022 im Einsatz ist, hat es auf Linux-SSH-Server abgesehen und versucht mit Brute-Force-Methoden, sich Zugang zu einem Gerät zu verschaffen.

Bei Brute-Force-Angriffen geht es im Wesentlichen um das "Erraten" von Benutzernamen und Kennwörtern, um unbefugten Zugriff auf ein System zu erhalten.

"Im Gegensatz zu den meisten Mirai-Varianten, die von Haus aus Telnet-Server mit Standard- oder schwachen Passwörtern aushebeln, scannt RapperBot ausschließlich SSH-Server, die so konfiguriert sind, dass sie eine Passwort-Authentifizierung akzeptieren, und versucht, diese aushebeln. Der größte Teil des Malware-Codes enthält eine Implementierung eines SSH 2.0-Clients, der eine Verbindung zu jedem SSH-Server herstellen und ihn mit roher Gewalt aushebeln kann, der Diffie-Hellmann-Schlüsselaustausch mit 768-Bit- oder 2048-Bit-Schlüsseln und Datenverschlüsselung mit AES128-CTR unterstützt", heißt es im Fortinet-Bericht.

RapperBot wird verwendet, um sich zunächst Zugang zu einem Server zu verschaffen, der dann genutzt wird, um sich innerhalb eines Netzwerks zu bewegen. RapperBot verfügt über begrenzte DDoS-Fähigkeiten - im Gegensatz zu vielen Formen von JavaScript-Malware, die häufig für weit verbreitete webbasierte Angriffe verwendet werden - und wurde von Forschern in freier Wildbahn entdeckt.

Den Forschern zufolge verfügt RapperBot über eigene Command-and-Control-Protokolle (C2) und andere einzigartige Funktionen, ähnlich wie die berüchtigte QBot-Malware, die für den Diebstahl von Bankdaten und C2-Aktivitäten bekannt ist.

Um Brute-Force-Systeme zu erzwingen, verwendet die Malware eine Liste von Anmeldedaten, die sie vom C2-Host heruntergeladen hat - einzigartige TCP-Anfragen. Im Erfolgsfall meldet sich die Malware dann beim C2 zurück.

Im Rahmen der laufenden Untersuchung verwendet RapperBot einen Selbstverbreitungsmechanismus über einen Remote-Binär-Downloader.

Neue Stämme von RapperBot verwenden ausgefeilte Techniken, um Systeme mit roher Gewalt zu infiltrieren. In aktuellen Beispielen fügt der Bot den Root-Benutzer "suhelper" auf den kompromittierten Endpunkten hinzu. Der Bot erstellt außerdem einen Cron-Job, der den Benutzer jede Stunde neu hinzufügt, wenn ein Administrator das Konto entdeckt und es löscht.

Es ist wichtig anzumerken, dass der Einsatz von RapperBot weitgehend unbekannt bleibt, vor allem weil seine DDoS-Funktionalität im Gegensatz zu ressourcenraubender Krypto-Malware, die infizierte Systeme aggressiv ausnutzt, begrenzt ist. Eine sorgfältige Untersuchung zeigt jedoch, dass sich die Malware nur auf den infizierten Linux-Rechnern einnistet und ausruht.

Zu den Quellen für diesen Beitrag gehört ein Artikel in Cybersecuritynews.