El malware para Linux "RapperBot" fuerza los servidores SSH
Los cazadores de amenazas de Fortinet han descubierto una nueva botnet llamada "RapperBot". El malware, que ha estado en uso desde mediados de junio de 2022, ha tenido como objetivo servidores SSH Linux utilizando intentos de fuerza bruta para obtener acceso a un dispositivo.
Los ataques de fuerza bruta consisten esencialmente en "adivinar" nombres de usuario y contraseñas para obtener acceso no autorizado a un sistema.
"A diferencia de la mayoría de las variantes de Mirai, que de forma nativa hacen fuerza bruta en servidores Telnet usando contraseñas por defecto o débiles, RapperBot exclusivamente escanea e intenta hacer fuerza bruta en servidores SSH configurados para aceptar autenticación por contraseña. La mayor parte del código malicioso contiene una implementación de un cliente SSH 2.0 que puede conectarse y forzar cualquier servidor SSH que admita el intercambio de claves Diffie Hellmann con claves de 768 o 2048 bits y el cifrado de datos mediante AES128-CTR", señala el informe de Fortinet.
RapperBot se utiliza para obtener acceso inicial al servidor, que luego se utiliza para obtener movimiento lateral dentro de una red. RapperBot tiene capacidades DDoS limitadas y fue descubierto por investigadores in the wild.
Según los investigadores, RapperBot tiene sus propios protocolos de mando y control (C2) y otras características únicas.
Para forzar los sistemas, el malware utiliza una lista de credenciales de inicio de sesión descargadas del host C2 -solicitudes TCP únicas. Si tiene éxito, el malware informa al C2.
Como parte de la investigación en curso, RapperBot utiliza un mecanismo de autopropagación a través de un descargador binario remoto.
Las nuevas cepas de RapperBot utilizan técnicas sofisticadas para forzar los sistemas. En ejemplos recientes, el bot añade el usuario root "suhelper" en los endpoints comprometidos. El bot también crea una tarea Cron que añade el usuario de nuevo cada hora si un administrador descubre la cuenta y la elimina.
Es importante señalar que el uso de RapperBot sigue siendo en gran medida desconocido, sobre todo porque su funcionalidad DDoS es limitada, lo que resulta muy extraño para las redes de bots. Sin embargo, una investigación cuidadosa muestra que el malware solo anida y reposa en las máquinas Linux infectadas.
Las fuentes de este artículo incluyen un artículo en Cybersecuritynews.