Le logiciel malveillant Linux "RapperBot" force les serveurs SSH

Les chasseurs de menaces de Fortinet ont découvert un nouveau botnet appelé "RapperBot". Le logiciel malveillant, qui est utilisé depuis la mi-juin 2022, a ciblé des serveurs SSH Linux en utilisant des tentatives de force brute pour obtenir l'accès à un appareil.

Les attaques par force brute consistent essentiellement à "deviner" des noms d'utilisateur et des mots de passe pour obtenir un accès non autorisé à un système.

"Contrairement à la majorité des variantes de Mirai, qui pratiquent nativement le brute force sur des serveurs Telnet utilisant des mots de passe par défaut ou faibles, RapperBot analyse exclusivement les serveurs SSH configurés pour accepter l'authentification par mot de passe et tente de pratiquer le brute force. L'essentiel du code du logiciel malveillant contient une implémentation d'un client SSH 2.0 qui peut se connecter et effectuer un brute force sur n'importe quel serveur SSH qui prend en charge l'échange de clés Diffie Hellmann avec des clés de 768 bits ou 2048 bits et le chiffrement des données à l'aide d'AES128-CTR", indique le rapport de Fortinet.

RapperBot est utilisé pour obtenir un accès initial au serveur, qui est ensuite utilisé pour se déplacer latéralement au sein d'un réseau. RapperBot a des capacités DDoS limitées - contrairement à de nombreuses formes de logiciels malveillants JavaScript qui sont souvent utilisés pour des attaques généralisées sur le web - et a été découvert par des chercheurs dans la nature.

Selon les chercheurs, RapperBot possède ses propres protocoles de commande et de contrôle (C2) et d'autres caractéristiques uniques, tout comme le tristement célèbre logiciel malveillant QBot, connu pour ses vols d'identifiants bancaires et ses activités C2.

Pour forcer les systèmes, le logiciel malveillant utilise une liste d'identifiants de connexion téléchargée à partir de l'hôte C2 - des requêtes TCP uniques. En cas de succès, le logiciel malveillant envoie un rapport au C2.

Dans le cadre de l'enquête en cours, RapperBot utilise un mécanisme d'autopropagation via un téléchargeur binaire distant.

Les nouvelles souches de RapperBot utilisent des techniques sophistiquées pour forcer les systèmes. Dans les exemples récents, le bot ajoute l'utilisateur root "suhelper" sur les points de terminaison compromis. Il crée également une tâche Cron qui ajoute un nouvel utilisateur toutes les heures si un administrateur découvre le compte et le supprime.

Il est important de noter que l'utilisation de RapperBot reste largement inconnue, principalement parce que sa fonctionnalité DDoS est limitée, contrairement aux crypto-malwares de détournement de ressources qui exploitent agressivement les systèmes infectés. Cependant, une enquête minutieuse montre que le logiciel malveillant se niche et se repose uniquement sur les machines Linux infectées.

Les sources de cet article comprennent un article de Cybersecuritynews.