ClickCease El malware para Linux 'RapperBot' fuerza los servidores SSH - TuxCare % en Español

Compruebe el estado de las CVE. Más información.

Índice

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Síganos en las redes sociales

Blog TuxCare

El malware para Linux "RapperBot" fuerza los servidores SSH

por

9 de agosto de 2022 - Equipo de relaciones públicas de TuxCare

Los cazadores de amenazas de Fortinet han descubierto una nueva botnet llamada "RapperBot". El malware, que ha estado en uso desde mediados de junio de 2022, ha tenido como objetivo servidores SSH Linux utilizando intentos de fuerza bruta para obtener acceso a un dispositivo.

Los ataques de fuerza bruta consisten esencialmente en "adivinar" nombres de usuario y contraseñas para obtener acceso no autorizado a un sistema.

"A diferencia de la mayoría de las variantes de Mirai, que de forma nativa hacen fuerza bruta en servidores Telnet utilizando contraseñas por defecto o débiles, RapperBot exclusivamente escanea e intenta hacer fuerza bruta en servidores SSH configurados para aceptar autenticación por contraseña. La mayor parte del código malicioso contiene una implementación de un cliente SSH 2.0 que puede conectarse y forzar cualquier servidor SSH que admita el intercambio de claves Diffie Hellmann con claves de 768 o 2048 bits y el cifrado de datos mediante AES128-CTR", señala el informe de Fortinet.

RapperBot se utiliza para obtener acceso inicial al servidor, que luego se utiliza para ganar movimiento lateral dentro de una red. RapperBot tiene capacidades DDoS limitadas -a diferencia de muchas formas de malware JavaScript que se utilizan a menudo para ataques generalizados basados en la web- y fue descubierto por investigadores en la naturaleza.

Según los investigadores, RapperBot tiene sus propios protocolos de mando y control (C2) y otras características únicas, muy parecidas al infame malware QBot, conocido por el robo de credenciales bancarias y la actividad C2.

Para forzar los sistemas, el malware utiliza una lista de credenciales de inicio de sesión descargadas del host C2 -solicitudes TCP únicas. Si tiene éxito, el malware informa al C2.

Como parte de la investigación en curso, RapperBot utiliza un mecanismo de autopropagación a través de un descargador binario remoto.

Las nuevas cepas de RapperBot utilizan técnicas sofisticadas para forzar los sistemas. En ejemplos recientes, el bot añade el usuario root "suhelper" en los endpoints comprometidos. El bot también crea una tarea Cron que añade el usuario de nuevo cada hora si un administrador descubre la cuenta y la elimina.

Es importante señalar que el uso de RapperBot sigue siendo en gran parte desconocido, principalmente porque su funcionalidad DDoS es limitada, a diferencia del malware criptográfico de secuestro de recursos que explota agresivamente los sistemas infectados. Sin embargo, una investigación cuidadosa muestra que el malware sólo anida y reposa en las máquinas Linux infectadas.

Las fuentes de este artículo incluyen un artículo en Cybersecuritynews.

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare