Mirai-version uusi versio nimeltä RapperBot on uusin esimerkki haittaohjelmista, jotka käyttävät suhteellisen harvinaisia tai aiemmin tuntemattomia tartuntavektoreita leviämään laajalti.
RapperBot ilmestyi ensimmäisen kerran viime vuonna Internet of Things (IoT) -haittaohjelmana, joka sisälsi suuria paloja Mirai-lähdekoodia, mutta jolla on huomattavasti erilaisia toimintoja verrattuna muihin Mirai-versioihin. Eroihin sisältyi uuden protokollan käyttö komento- ja ohjausviestintään (C2) ja sisäänrakennettu ominaisuus raakoja SSH-palvelimia varten Telnet-palvelujen sijaan, kuten on yleistä Mirai-versioissa.
Jatkuvasti kehittyvä uhka
Haittaohjelmaa viime vuonna jäljittäneet Fortinetin tutkijat havaitsivat, että sen tekijät muuttivat säännöllisesti haittaohjelmaa, ensinnäkin lisäämällä koodia pysyvyyden ylläpitämiseksi tartunnan saaneilla koneilla jopa uudelleenkäynnistyksen jälkeen ja sitten koodilla itseään leviämistä varten etäbinaarilatausohjelman kautta. Myöhemmin haittaohjelmien tekijät poistivat itse leviämisominaisuuden ja lisäsivät sellaisen, joka mahdollisti jatkuvan etäkäytön raa'an pakotetun SSH-palvelimille.
Vuoden 2022 viimeisellä neljänneksellä Kasperskyn tutkijat löysi uuden RapperBot-version kiertää luonnossa, jossa SSH brute-force -toiminnallisuus oli poistettu ja korvattu ominaisuuksilla kohdistaa Telnet-palvelimia.
Kasperskyn analyysi haittaohjelmasta osoitti, että se integroi myös tietoturvatoimittajan "älykkään" ja melko harvinaisen ominaisuuden raa'alle pakottavalle telnetille. Sen sijaan, että haittaohjelma pakottaisi raa'an voiman valtavilla tunnistetiedoilla, se tarkistaa saamansa kehotteet, kun se telnetoidaan laitteeseen – ja valitsee sen perusteella sopivat tunnistetiedot raa'an voiman hyökkäystä varten. Tämä nopeuttaa merkittävästi raa'an pakottamista moniin muihin haittaohjelmatyökaluihin verrattuna, Kaspersky sanoi.
"Kun telnetit laitteeseen, saat yleensä kehotteen", sanoo Jornt van der Wiel, Kasperskyn vanhempi tietoturvatutkija. Kehote voi paljastaa tietoja, joita RapperBot käyttää määrittääkseen kohteena olevan laitteen ja mitä valtuustietoja käyttää, hän sanoo.
Kohteen kohteena olevasta IoT-laitteesta riippuen RapperBot käyttää erilaisia tunnistetietoja, hän sanoo. "Joten laitteelle A se käyttää käyttäjä/salasanajoukkoa A; ja laitteessa B se käyttää käyttäjä/salasana-joukkoa B”, van der Wiel sanoo.
Haittaohjelma käyttää sitten useita mahdollisia komentoja, kuten "wget", "curl" ja "ftpget", ladatakseen itsensä kohdejärjestelmään. Jos nämä menetelmät eivät toimi, haittaohjelma käyttää latausohjelmaa ja asentaa itsensä laitteelle Kasperskyn mukaan.
RapperBotin raa'an voiman prosessi on suhteellisen harvinainen, ja van der Weil sanoo, että hän ei voi nimetä muita haittaohjelmanäytteitä, jotka käyttävät lähestymistapaa.
Siitä huolimatta, kun otetaan huomioon haittaohjelmanäytteiden valtava määrä luonnossa, on mahdotonta sanoa, onko se ainoa haittaohjelma, joka tällä hetkellä käyttää tätä lähestymistapaa. Se ei todennäköisesti ole ensimmäinen haitallisen koodin pala, joka käyttää tekniikkaa, hän sanoo.
Uusi, harvinainen taktiikka
Kaspersky mainitsi RapperBotin yhtenä esimerkkinä haittaohjelmista, jotka levittävät harvinaisia ja joskus ennennäkemättömiä tekniikoita.
Toinen esimerkki on "Rhadamanthys", tietovarastaja, joka on saatavilla haittaohjelma-as-a-service -vaihtoehdolla venäjänkielisellä kyberrikollisfoorumilla. Tietovarastaja on yksi kasvava määrä haittaohjelmaperheitä, joita uhkatoimijat ovat alkaneet levittää haitallisten mainosten kautta.
Taktiikkaan kuuluu, että vastustajat asettavat verkkomainosalustoille haittaohjelmia sisältäviä mainoksia tai mainoksia, joissa on linkkejä tietojenkalastelusivustoille. Usein mainokset koskevat laillisia ohjelmistotuotteita ja -sovelluksia, ja ne sisältävät avainsanoja, jotka varmistavat, että ne näkyvät korkealla hakukoneiden tuloksissa tai kun käyttäjät selaavat tiettyjä verkkosivustoja. Viime kuukausina uhkatoimijat ovat käyttäneet tällaisia ns kohderyhmä laajalti käytettyjen salasanojen hallintaohjelmien käyttäjille kuten LastPass, Bitwarden ja 1Password.
Uhkatoimijoiden kasvava menestys haitallisten huijausten kanssa kannustaa lisäämään tekniikan käyttöä. Esimerkiksi Rhadamanthysin kirjoittajat käyttivät aluksi tietojenkalastelu- ja roskapostiviestejä, ennen kuin siirtyivät haitallisiin mainoksiin alkuperäisenä tartuttajavektorina.
"Rhadamanthys ei eroa muista kampanjoista, joissa käytetään haitallisia mainoksia", van der Weil sanoo. "Se on kuitenkin osa trendiä, että näemme haitallisen mainonnan yleistyvän."
Toinen Kasperskyn havaitsema trendi: avoimen lähdekoodin haittaohjelmien kasvava käyttö vähemmän koulutettujen kyberrikollisten keskuudessa.
Ota CueMiner, GitHubista saatavilla oleva kolikonlouhintahaittaohjelmien latausohjelma. Kasperskyn tutkijat ovat havainneet, että hyökkääjät levittävät haittaohjelmia käyttämällä BitTorrentin kautta tai OneDrive-jakamisverkoista ladattuja krakattujen sovellusten troijalaisia versioita.
"Avoimen lähdekoodin luonteen vuoksi jokainen voi ladata ja kääntää sen", van der Weil selittää. "Koska nämä käyttäjät eivät yleensä ole kovin edistyneitä kyberrikollisia, heidän on turvauduttava suhteellisen yksinkertaisiin tartuntamekanismeihin, kuten BitTorrentiin ja OneDriveen."
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
- Lähde: https://www.darkreading.com/remote-workforce/new-mirai-variant-employs-uncommon-tactics-to-distribute-malware
- :On
- $ YLÖS
- 2022
- 7
- a
- pääsy
- Mukaan
- toimijoiden
- Ad
- lisä-
- mainokset
- kehittynyt
- Jälkeen
- keskuudessa
- analyysi
- ja
- sovellukset
- lähestymistapa
- sopiva
- sovellukset
- OVAT
- AS
- At
- hyökkäys
- Tekijät
- saatavissa
- perustua
- tulossa
- ennen
- BitTorrent
- sisäänrakennettu
- by
- nimeltään
- Kampanjat
- CAN
- kyvyt
- tietty
- Tarkastukset
- kiertävä
- koodi
- Yhteinen
- Yhteydenpito
- verrattuna
- sisältää
- säröillä
- Valtakirja
- Tällä hetkellä
- KYBERRIKOLLINEN
- verkkorikollisille
- on kuvattu
- Määrittää
- laite
- erot
- eri
- jakaa
- jako-
- ei
- download
- sähköpostit
- työllistää
- Moottori
- varmistaa
- Jopa
- kehittyvä
- esimerkki
- selittää
- perheet
- Ominaisuus
- Etunimi
- varten
- Fortinet
- foorumit
- Neljäs
- alkaen
- toiminnallisuus
- saada
- GitHub
- tietty
- Kasvava
- Olla
- Korkea
- Kuitenkin
- HTTPS
- valtava
- mahdoton
- in
- mukana
- Kasvaa
- tiedot
- tiedot
- ensimmäinen
- ensin
- esimerkki
- integroitu
- Älykäs
- Internet
- Internet asioita
- Esineiden internet
- IoT-laite
- IT
- SEN
- itse
- jpg
- Kaspersky
- Kieli
- suuri
- Sukunimi
- Viime vuonna
- LastPass
- uusin
- Todennäköisesti
- linkit
- Koneet
- ylläpitää
- haittaohjelmat
- monet
- menetelmät
- kk
- lisää
- nimi
- luonto
- verkot
- Uusi
- numero
- of
- on
- ONE
- verkossa
- avata
- avoimen lähdekoodin
- Vaihtoehto
- Muut
- osa
- Salasana
- Phishing
- Tietojenkalastelusivustot
- kappale
- Istutus
- Platforms
- Platon
- Platonin tietotieto
- PlatonData
- Suosittu
- mahdollinen
- aiemmin
- prosessi
- Tuotteemme
- protokolla
- Neljännes
- HARVINAINEN
- pikemminkin
- sai
- äskettäinen
- säännöllisesti
- suhteellisesti
- kaukosäädin
- etäkäyttö
- poistettu
- korvataan
- tutkija
- Tutkijat
- tulokset
- paljastaa
- Venäjän kieli
- s
- Said
- sanoo
- huijauksia
- Haku
- hakukone
- turvallisuus
- vanhempi
- servers
- Palvelut
- setti
- jakaminen
- merkittävästi
- Yksinkertainen
- Sivustot
- So
- Tuotteemme
- jonkin verran
- jokseenkin
- lähde
- lähdekoodi
- spam
- nopeudet
- levitä
- menestys
- niin
- pinta
- järjestelmä
- taktiikka
- Kohde
- kohdennettu
- kohdistaminen
- tekniikat
- että
- -
- Niitä
- Nämä
- asiat
- uhkaus
- uhka toimijat
- että
- työkalut
- Seuranta
- Trend
- tyypillisesti
- harvinainen
- varten
- käyttää
- Käyttäjät
- variantti
- lajike
- myyjä
- versio
- kautta
- sivustot
- Mitä
- joka
- laajalti
- Villi
- with
- Referenssit
- vuosi
- Voit
- zephyrnet
