Le malware Linux "RapperBot" force brutalement les serveurs SSH

Les chasseurs de menaces de Fortinet ont découvert un nouveau botnet appelé "RapperBot". Le malware, qui est utilisé depuis la mi-juin 2022, a ciblé des serveurs SSH Linux en utilisant des tentatives de force brute pour obtenir l'accès à un appareil.

Les attaques par force brute consistent essentiellement à "deviner" des noms d'utilisateur et des mots de passe pour obtenir un accès non autorisé à un système.

" Contrairement à la majorité des variantes de Mirai, qui forcent nativement par force brute les serveurs Telnet en utilisant des mots de passe par défaut ou faibles, RapperBot scanne et tente exclusivement de forcer par force brute les serveurs SSH configurés pour accepter l'authentification par mot de passe. La majeure partie du code du malware contient une implémentation d'un client SSH 2.0 qui peut se connecter et forcer n'importe quel serveur SSH prenant en charge l'échange de clés Diffie Hellmann avec des clés de 768 ou 2048 bits et le chiffrement des données à l'aide d'AES128-CTR", indique le rapport de Fortinet.

RapperBot est utilisé pour obtenir un accès initial au serveur, qui est ensuite utilisé pour obtenir un mouvement latéral dans un réseau. RapperBot a des capacités DDoS limitées et a été découvert par des chercheurs dans la nature.

Selon les chercheurs, RapperBot dispose de ses propres protocoles de commande et de contrôle (C2) et d'autres caractéristiques uniques.

Pour forcer les systèmes, le logiciel malveillant utilise une liste d'identifiants de connexion téléchargée depuis l'hôte C2 - des requêtes TCP uniques. En cas de succès, le logiciel malveillant renvoie un rapport au C2.

Dans le cadre de l'enquête en cours, RapperBot utilise un mécanisme d'auto-propagation via un téléchargeur binaire distant.

Les nouvelles souches de RapperBot utilisent des techniques sophistiquées pour forcer les systèmes. Dans des exemples récents, le robot ajoute l'utilisateur root "suhelper" sur les points d'extrémité compromis. Le robot crée également une tâche Cron qui ajoute à nouveau l'utilisateur toutes les heures si un administrateur découvre le compte et le supprime.

Il est important de noter que l'utilisation de RapperBot reste largement inconnue, principalement parce que sa fonctionnalité DDoS est limitée, ce qui est très étrange pour des botnets. Cependant, une enquête minutieuse montre que le malware se niche et se repose uniquement sur les machines Linux infectées.

Les sources de cet article comprennent un article de Cybersecuritynews.