En ny version af en Mirai-variant kaldet RapperBot er det seneste eksempel på malware, der bruger relativt ualmindelige eller hidtil ukendte infektionsvektorer til at forsøge at sprede bredt.
RapperBot dukkede først op sidste år som Internet of Things (IoT) malware, der indeholder store bidder af Mirai-kildekode, men med en væsentlig anderledes funktionalitet sammenlignet med andre Mirai-varianter. Forskellene omfattede brugen af en ny protokol til kommando-og-kontrol (C2) kommunikation og en indbygget funktion til brute-forcing SSH-servere i stedet for Telnet-tjenester, som det er almindeligt i Mirai-varianter.
Konstant udviklende trussel
Forskere fra Fortinet, der sporede malware sidste år, observerede, at forfatterne regelmæssigt ændrede malwaren, først og fremmest tilføjelse af kode for at bevare persistens på inficerede maskiner selv efter en genstart, og derefter med kode til selvudbredelse via en ekstern binær downloader. Senere fjernede malware-forfatterne funktionen til selvudbredelse og tilføjede en, der tillod dem vedvarende fjernadgang til brute-forced SSH-servere.
I fjerde kvartal af 2022, Kasperskys forskere opdagede en ny RapperBot-variant cirkulerer i naturen, hvor SSH brute-force-funktionaliteten var blevet fjernet og erstattet med muligheder for at målrette telnet-servere.
Kasperskys analyse af malwaren viste, at den også integrerede, hvad sikkerhedsleverandøren beskrev som en "intelligent" og noget ualmindelig funktion til brute-forcing telnet. I stedet for brute-forcering med et enormt sæt legitimationsoplysninger, tjekker malwaren de prompter, der modtages, når den telnets til en enhed - og ud fra det vælger den passende sæt legitimationsoplysninger til et brute-force-angreb. Det fremskynder den brute-forcing-proces betydeligt sammenlignet med mange andre malware-værktøjer, sagde Kaspersky.
"Når du telnet til en enhed, får du typisk en prompt," siger Jornt van der Wiel, senior sikkerhedsforsker hos Kaspersky. Prompten kan afsløre nogle oplysninger, som RapperBot bruger til at bestemme den enhed, den er målrettet mod, og hvilke legitimationsoplysninger der skal bruges, siger han.
Afhængigt af den IoT-enhed, der er målrettet mod, bruger RapperBot forskellige legitimationsoplysninger, siger han. "Så for enhed A bruger den bruger/adgangskodesæt A; og for enhed B bruger den bruger/adgangskodesæt B,” siger van der Wiel.
Malwaren bruger derefter en række mulige kommandoer, såsom "wget", "curl" og "ftpget" til at downloade sig selv på målsystemet. Hvis disse metoder ikke virker, bruger malwaren en downloader og installerer sig selv på enheden, ifølge Kaspersky.
RapperBots brute-force-proces er relativt ualmindelig, og van der Weil siger, at han ikke kan nævne andre malware-eksempler, der bruger fremgangsmåden.
Alligevel, givet det store antal malware-prøver i naturen, er det umuligt at sige, om det er den eneste malware, der i øjeblikket bruger denne tilgang. Det er sandsynligvis ikke det første stykke ondsindet kode, der bruger teknikken, siger han.
Ny, sjælden taktik
Kaspersky pegede på RapperBot som et eksempel på malware, der anvender sjældne og nogle gange hidtil usete teknikker til at sprede.
Et andet eksempel er "Rhadamanthys", en informationstyver, der er tilgængelig under en malware-as-a-service-mulighed på et russisksproget cyberkriminelt forum. Info-tyveren er en blandt et voksende antal malware-familier, som trusselsaktører er begyndt at distribuere via ondsindede reklamer.
Taktikken involverer modstandere, der planter malware-ladede annoncer eller annoncer med links til phishing-websteder på online annonceplatforme. Ofte er annoncerne for legitime softwareprodukter og applikationer og indeholder søgeord, der sikrer, at de vises højt på søgemaskineresultater, eller når brugere gennemser bestemte websteder. I de seneste måneder har trusselsaktører brugt sådanne såkaldte malvertiseringer til målrette brugere af udbredte adgangskodeadministratorer såsom LastPass, Bitwarden og 1Password.
Den voksende succes, som trusselsaktører har haft med svindel med malvertising, ansporer til en stigning i brugen af teknikken. Forfatterne af Rhadamanthys brugte f.eks. oprindeligt phishing og spam-e-mails, før de skiftede til ondsindede reklamer som den oprindelige infektorvektor.
"Rhadamanthys gør ikke noget anderledes end andre kampagner, der bruger malvertising," siger van der Weil. "Det er dog en del af en tendens, at vi ser, at malvertising bliver mere populært."
En anden tendens Kaspersky har set: den voksende brug af open source malware blandt mindre dygtige cyberkriminelle.
Tag CueMiner, en downloader til møntmine-malware tilgængelig på GitHub. Kasperskys forskere har observeret angribere, der distribuerer malware ved hjælp af trojanske versioner af crackede apps, der er downloadet via BitTorrent eller fra OneDrive-delingsnetværk.
"På grund af dens open source-karakter kan alle downloade og kompilere den," forklarer van der Weil. "Da disse brugere typisk ikke er særlig avancerede cyberkriminelle, er de nødt til at stole på relativt simple infektionsmekanismer, såsom BitTorrent og OneDrive."
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Kilde: https://www.darkreading.com/remote-workforce/new-mirai-variant-employs-uncommon-tactics-to-distribute-malware
- :er
- $OP
- 2022
- 7
- a
- adgang
- Ifølge
- aktører
- Ad
- tilføjet
- annoncer
- fremskreden
- Efter
- blandt
- analyse
- ,
- applikationer
- tilgang
- passende
- apps
- ER
- AS
- At
- angribe
- forfattere
- til rådighed
- baseret
- blive
- før
- BitTorrent
- indbygget
- by
- kaldet
- Kampagner
- CAN
- kapaciteter
- vis
- Kontrol
- cirkulerende
- kode
- Fælles
- Kommunikation
- sammenlignet
- indeholder
- revnet
- Legitimationsoplysninger
- For øjeblikket
- CYBERKRIMINAL
- cyberkriminelle
- beskrevet
- Bestem
- enhed
- forskelle
- forskellige
- distribuere
- distribution
- Er ikke
- downloade
- emails
- beskæftiger
- Engine (Motor)
- sikre
- Endog
- udviklende
- eksempel
- Forklarer
- familier
- Feature
- Fornavn
- Til
- Fortinet
- forum
- Fjerde
- fra
- funktionalitet
- få
- GitHub
- given
- Dyrkning
- Have
- Høj
- Men
- HTTPS
- kæmpe
- umuligt
- in
- medtaget
- Forøg
- info
- oplysninger
- initial
- i første omgang
- instans
- integreret
- Intelligent
- Internet
- tingenes internet
- tingenes internet
- IoT-enhed
- IT
- ITS
- selv
- jpg
- Kaspersky
- Sprog
- stor
- Efternavn
- Sidste år
- LastPass
- seneste
- Sandsynlig
- links
- Maskiner
- vedligeholde
- malware
- mange
- metoder
- måned
- mere
- navn
- Natur
- net
- Ny
- nummer
- of
- on
- ONE
- online
- åbent
- open source
- Option
- Andet
- del
- Adgangskode
- Phishing
- Phishing-websteder
- stykke
- Plantning
- Platforme
- plato
- Platon Data Intelligence
- PlatoData
- Populær
- mulig
- tidligere
- behandle
- Produkter
- protokol
- Kvarter
- SJÆLDEN
- hellere
- modtaget
- nylige
- regelmæssigt
- relativt
- fjern
- Remote Access
- fjernet
- udskiftes
- forsker
- forskere
- Resultater
- afsløre
- Russisk
- s
- Said
- siger
- svindel
- Søg
- søgemaskine
- sikkerhed
- senior
- Servere
- Tjenester
- sæt
- deling
- betydeligt
- Simpelt
- Websteder
- So
- Software
- nogle
- noget
- Kilde
- kildekode
- spam
- hastigheder
- spredes
- succes
- sådan
- overflade
- systemet
- taktik
- mål
- målrettet
- rettet mod
- teknikker
- at
- Them
- Disse
- ting
- trussel
- trusselsaktører
- til
- værktøjer
- Sporing
- Trend
- typisk
- Ualmindelig
- under
- brug
- brugere
- Variant
- række
- sælger
- udgave
- via
- websites
- Hvad
- som
- bredt
- Wild
- med
- Arbejde
- år
- Du
- zephyrnet
