Kampanye RapperBot membawa beberapa talenta baru ke dalam gudang senjata malware mereka, menambahkan kemampuan penambangan kripto ke malware botnet penolakan layanan (DDoS) terdistribusi yang ada untuk memperluas cakrawala keuangannya.
Menurut analisis RapperBot dirilis minggu ini oleh FortiGuard Labs dari Fortinet, elemen cryptojacking dari malware ini adalah varian khusus dari penambang XMRig Monero yang terkenal, yang dirancang khusus untuk mesin Intel x64.
โAwalnya, mereka menyebarkan dan mengeksekusi cryptominer Monero terpisah bersama dengan biner RapperBot biasa,โ jelas para peneliti dalam postingan tersebut. โNamun pada akhir Januari 2023, mereka menggabungkan kedua fungsi tersebut menjadi satu bot.โ
Operator RapperBot pada umumnya di masa lalu berfokus pada penyusupan perangkat Internet of Things (IoT) dengan cara memaksa kredensial SSH atau Telnet yang lemah atau default, dengan tujuan memperbudak mereka ke botnet. Itu Botnet berbasis Mirai, yang aktif sejak bulan Juni lalu, telah digunakan dalam beberapa kampanye DDoS, namun yang jelas kelompok ini melihat peluang untuk mendapatkan lebih banyak keuntungan dengan memperluas apa yang dapat dicapai oleh botnet.
โOperator botnet yang bermotivasi finansial selalu berupaya mendapatkan nilai maksimal dari mesin yang terinfeksi botnet mereka,โ jelas peneliti FortiGuard. โTidak terkecuali pelaku ancaman di balik botnet RapperBot, terbukti dengan penambahan kemampuan cryptojacking mereka untuk menargetkan mesin x64.โ
Prestasi RapperBot. Cryptojacking: Kerja Sama yang Logis
XMRig adalah penambang Monero sumber terbuka, dan penggabungannya dengan botnet DDoS yang berspesialisasi dalam memenuhi peralatan IoT konsumen masuk akal, menurut peneliti FortiGuard.
โMonero (XMR) adalah mata uang kripto yang populer untuk penambangan ilegal oleh pelaku ancaman karena fitur-fiturnya yang meningkatkan privasi,โ catat mereka dalam postingan tersebut. โIni juga dirancang agar lebih tahan terhadap penambang sirkuit terintegrasi khusus aplikasi (ASIC), yang memungkinkan penambangan secara menguntungkan hanya dengan perangkat keras tingkat konsumen.โ
Analis FortiGuard pertama kali menyadari bahwa ada sesuatu yang baru dengan RapperBot pada akhir Januari, ketika mereka mengumpulkan sampel x64 yang jauh lebih besar daripada sampel malware biasa.
โPada analisis lebih lanjut, kami memverifikasi bahwa pengembang bot telah menggabungkan kode sumber RapperBot C dengan kode C++ penambang XMRig Monero untuk membuat klien bot gabungan dengan kemampuan penambangan,โ jelas mereka.
Menggabungkan keduanya dibandingkan menerapkannya secara terpisah menawarkan beberapa keuntungan, menurut analisis. Pertama, hal ini memungkinkan operator untuk membonceng kemampuan penambangan ke kemampuan brute-forcing atau self-propagation SSH yang ada pada botnet โ berguna mengingat XMRig secara asli tidak memiliki keduanya. Dengan cara ini, mereka tidak perlu mengikuti infeksi botnet untuk menginstal penambang di setiap mesin secara manual.
Selain itu, โpenggabungan kode bot dan penambang mungkin merupakan upaya untuk menyembunyikan kumpulan penambangan dan alamat dompet Monero menggunakan pengkodean XOR lapisan ganda yang sama sehingga tidak terekspos secara jelas,โ mereka menambahkan.
Modifikasi Khusus untuk Membuat Hibrida DDoS-Cryptojacking
Untuk membuat biner hybrid, penulis RapperBot perlu membuat beberapa perubahan kode yang signifikan, menurut FortiGuard. Pertama, kemampuan XMRig untuk membaca file konfigurasi eksternal harus dihapus, sehingga secara default selalu menggunakan konfigurasi yang dibangun ke dalam biner botnet itu sendiri.
โBot mendekode kumpulan penambangan dan alamat dompet Monero serta memperbarui konfigurasi hardcode sebelum memulai penambang yang tertanam,โ jelas para peneliti. โPenambang juga dikonfigurasi untuk menggunakan beberapa kumpulan penambangan untuk redundansi dan privasi tambahan. Dua di antaranya adalah proxy penambangan yang dihosting di IP RapperBot C2 itu sendiri. Hal ini memungkinkan pelaku ancaman untuk menghilangkan alamat dompet dan kumpulan penambangan sebenarnya dari konfigurasi penambang.โ
Perubahan lainnya termasuk penghapusan penangan sinyal default XMRig yang terkenal, untuk menghindari memberi tahu korban yang paham akan aktivitas tersebut; mengganti โXMRigโ dengan โasbuasdbuโ pada informasi versi untuk mencegah kemudahan identifikasi; dan, informasi penggunaan tertentu telah dihapus, kemungkinan besar untuk menghindari deteksi oleh produk keamanan dan penambang pesaing dari kelompok pembajak kripto lainnya.
Versi khusus penambang ini juga memiliki sifat mematikan, membunuh semua penambang pesaing (dan beberapa proses lain yang masuk daftar hitam) yang ditemukan di mesin untuk memaksimalkan efisiensi penambangan.
โBerdasarkan kata kunci yang digunakan, pengembang bot lebih tertarik untuk menghentikan penambang lain dibandingkan bot IoT lainnya,โ menurut FortiGuard. โIni menegaskan kembali fokus mereka pada serangan cryptojacking vs DDoS, setidaknya pada mesin x64.โ
Cara Mencegah Infeksi RapperBot
Penulis RapperBot secara teratur mengembangkan malware mereka, dengan analisis sebelumnya dari peneliti FortiGuard menemukan bahwa mereka memiliki kemampuan tambahan seperti kemampuan untuk menjaga kegigihan pada mesin yang terinfeksi bahkan setelah reboot, dan kemudian mengaktifkan propagasi mandiri melalui pengunduh biner jarak jauh. Belakangan, pembuat malware menghapus fitur propagasi mandiri dan menambahkan fitur yang memungkinkan mereka mengakses server SSH secara paksa dari jarak jauh, kata para peneliti.
Namun, aspek brute-force dari strategi akses awalnya memungkinkan RapperBot untuk memblokir meskipun ada perubahan, jelas mereka. Itu mudah: kebersihan kata sandi yang baik.
โRapperBot terus menjadi ancaman berbahaya karena pembaruan terus-menerus,โ kata mereka dalam postingan terbaru. โKarena vektor infeksi utama yang menyusupi layanan SSH menggunakan kata sandi yang lemah atau default tetap sama, mitigasinya dengan mengaktifkan otentikasi kunci publik atau menetapkan kata sandi yang kuat untuk semua perangkat yang terhubung ke Internet masih efektif dalam memitigasi ancaman ini.โ
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoAiStream. Kecerdasan Data Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Mencetak Masa Depan bersama Adryenn Ashley. Akses Di Sini.
- Beli dan Jual Saham di Perusahaan PRE-IPO dengan PREIPOยฎ. Akses Di Sini.
- Sumber: https://www.darkreading.com/threat-intelligence/rapperbot-crew-drops-ddos-cryptojacking-botnet-collab
- :memiliki
- :adalah
- :bukan
- 2023
- 7
- a
- kemampuan
- mengakses
- menyelesaikan
- Menurut
- aktif
- kegiatan
- aktor
- menambahkan
- menambahkan
- tambahan
- Tambahan
- alamat
- keuntungan
- Setelah
- tujuan
- Semua
- memungkinkan
- di samping
- juga
- selalu
- an
- Analisis
- analisis
- Analis
- dan
- Apa pun
- ADALAH
- Gudang senjata
- AS
- asic
- penampilan
- At
- Serangan
- Otentikasi
- penulis
- menghindari
- berdasarkan
- BE
- karena
- menjadi
- sebelum
- di belakang
- DAFTAR HITAM
- Memblokir
- Bot
- kedua
- botnet
- botnet
- bot
- Membawa
- dibangun di
- tapi
- by
- C + +
- Kampanye
- Kampanye
- CAN
- kemampuan
- tertentu
- Perubahan
- jelas
- Jelas
- klien
- kode
- bergabung
- Umum
- bersaing
- kompromi
- konfigurasi
- terhubung
- konsumen
- terus
- membuat
- cryptocurrency
- Cryptojacking
- adat
- disesuaikan
- Berbahaya
- DDoS
- Default
- dikerahkan
- penggelaran
- dirancang
- Meskipun
- Deteksi
- pengembang
- Devices
- didistribusikan
- don
- Tetes
- dua
- setiap
- Mudah
- Efektif
- efisiensi
- elemen
- tertanam
- memungkinkan
- Bahkan
- berkembang
- pengecualian
- ada
- Lihat lebih lanjut
- memperluas
- menjelaskan
- terkena
- luar
- ekstrak
- prestasi
- Fitur
- Fitur
- beberapa
- File
- keuangan
- secara finansial
- temuan
- menemukan
- Pertama
- Fokus
- terfokus
- mengikuti
- Untuk
- Fortinet
- segar
- dari
- fungsionalitas
- lebih lanjut
- Gang
- gigi
- umumnya
- mendapatkan
- diberikan
- Grup
- memiliki
- Perangkat keras
- Memiliki
- menyembunyikan
- Horizons
- host
- HTTPS
- Hibrida
- Identifikasi
- dilarang
- in
- memasukkan
- sendiri-sendiri
- infeksi
- informasi
- mulanya
- mulanya
- install
- sebagai gantinya
- terpadu
- Intel
- tertarik
- Internet
- internet hal-hal
- ke
- idiot
- IP
- IT
- NYA
- Diri
- Januari
- jpg
- Juni
- hanya
- kunci
- Labs
- lebih besar
- Terakhir
- Terlambat
- kemudian
- Terbaru
- paling sedikit
- 'like'
- Mungkin
- logis
- mesin
- Mesin
- memelihara
- membuat
- MEMBUAT
- malware
- manual
- Maksimalkan
- maksimum
- penggabungan
- mungkin
- buruh tambang
- penambang
- Pertambangan
- Kolam Tambang
- meringankan
- Monero
- Monero (XMR)
- lebih
- termotivasi
- beberapa
- dibutuhkan
- juga tidak
- New
- tidak
- terkenal
- of
- lepas
- Penawaran
- on
- ONE
- open source
- operator
- Kesempatan
- or
- urutan
- Lainnya
- Kata Sandi
- password
- lalu
- plato
- Kecerdasan Data Plato
- Data Plato
- Kolam renang
- Populer
- mungkin
- Pos
- mencegah
- sebelumnya
- primer
- pribadi
- proses
- Produk
- publik
- Key publik
- Baca
- menegaskan kembali
- dirilis
- sisa
- terpencil
- Remote Access
- pemindahan
- Dihapus
- diganti
- peneliti
- tahan
- s
- sama
- mengerti
- keamanan
- rasa
- terpisah
- Server
- Layanan
- pengaturan
- beberapa
- Sinyal
- penting
- signifikan
- Sederhana
- sejak
- tunggal
- So
- beberapa
- sesuatu
- sumber
- kode sumber
- spesialisasi
- Secara khusus
- Mulai
- Masih
- Penyelarasan
- garis
- kuat
- disesuaikan
- Bakat
- target
- dari
- bahwa
- Grafik
- mereka
- Mereka
- kemudian
- mereka
- hal
- ini
- ancaman
- aktor ancaman
- untuk
- bersama
- dua
- Pembaruan
- penggunaan
- menggunakan
- bekas
- menggunakan
- nilai
- Varian
- diverifikasi
- versi
- melalui
- korban
- vs
- dompet
- adalah
- Cara..
- we
- terkenal
- Apa
- ketika
- yang
- dengan
- akan
- XMR
- zephyrnet.dll