La squadra di RapperBot lancia la collaborazione con botnet DDoS/CryptoJacking

La campagna RapperBot sta introducendo nuovi talenti nel suo arsenale di malware, aggiungendo funzionalità di cryptomining al malware botnet DDoS (Distributed Denial of Service) esistente al fine di espandere i propri orizzonti finanziari.

Secondo un'analisi di RapperBot pubblicata questa settimana dai FortiGuard Labs di Fortinet, l'elemento cryptojacking del malware è una variante personalizzata del noto minatore XMRig Monero, adattato specificamente per le macchine Intel x64.

"Inizialmente, hanno implementato ed eseguito un cryptominer Monero separato insieme al solito binario RapperBot", hanno spiegato i ricercatori nel post. “Ma alla fine di gennaio 2023, hanno combinato entrambe le funzionalità in un unico bot.”

In passato gli operatori di RapperBot si sono concentrati sulla compromissione dei dispositivi Internet of Things (IoT). forzatura bruta delle credenziali SSH o Telnet deboli o predefinite, con l'obiettivo di asservirli a una botnet. IL Botnet basata su Mirai, attivo dallo scorso giugno, è stato utilizzato in diverse campagne DDoS, ma chiaramente il gruppo ha visto un'opportunità per ottenere di più espandendo le potenzialità della botnet.

"Gli operatori di botnet motivati ​​dal punto di vista finanziario sono sempre alla ricerca di ottenere il massimo valore dalle macchine infettate dalle loro botnet", hanno spiegato i ricercatori di FortiGuard. "Gli autori delle minacce dietro la botnet RapperBot non fanno eccezione, come risulta evidente dalla loro aggiunta di funzionalità di cryptojacking per prendere di mira le macchine x64."

RapperBot feat. Cryptojacking: una collaborazione logica

XMRig è un minatore Monero open source e la sua incorporazione da parte di una botnet DDoS specializzata nell'infestazione di dispositivi IoT di consumo ha senso, secondo i ricercatori di FortiGuard.

"Monero (XMR) è una criptovaluta popolare per il mining illecito da parte di autori di minacce a causa delle sue funzionalità di miglioramento della privacy", hanno osservato nel post. "È inoltre progettato per essere più resistente ai minatori di circuiti integrati specifici per l'applicazione (ASIC), il che consente di estrarre in modo redditizio solo con hardware di livello consumer."

Gli analisti di FortiGuard hanno notato per la prima volta che c’era qualcosa di nuovo con RapperBot alla fine di gennaio, quando hanno raccolto un campione x64 significativamente più grande di quello comune per il malware.

"Dopo un'ulteriore analisi, abbiamo verificato che gli sviluppatori del bot avevano unito il codice sorgente C di RapperBot con il codice C++ del minatore XMRig Monero per creare un client bot combinato con funzionalità di mining", hanno spiegato.

Unire i due insieme invece di distribuirli separatamente offre alcuni vantaggi, secondo l’analisi. Innanzitutto, consente agli operatori di trasferire la capacità di mining sulle capacità di forzatura bruta o autopropagazione SSH esistenti della botnet, utile dato che XMRig nativamente non ha nessuna delle due. In questo modo non devono seguire le infezioni botnet per installare manualmente il minatore su ogni singola macchina.

Inoltre, "l'unione del codice del bot e del minatore potrebbe essere un tentativo di nascondere i pool minerari e gli indirizzi del portafoglio Monero utilizzando la stessa codifica XOR a doppio strato in modo che non siano esposti in chiaro", hanno aggiunto.

Mod personalizzate per creare un ibrido DDoS-Cryptojacking

Secondo FortiGuard, per creare il binario ibrido, gli autori di RapperBot hanno dovuto apportare alcune modifiche significative al codice. Per prima cosa, è stato necessario rimuovere la capacità di XMRig di leggere file di configurazione esterni, in modo che utilizzasse sempre per impostazione predefinita la configurazione integrata nel file binario della botnet stesso.

"Il bot decodifica i pool minerari e gli indirizzi del portafoglio Monero e aggiorna la configurazione hardcoded prima di avviare il minatore incorporato", hanno spiegato i ricercatori. “Il minatore è inoltre configurato per utilizzare più pool minerari sia per la ridondanza che per una maggiore privacy. Due di questi sono proxy minerari ospitati sullo stesso IP RapperBot C2. Ciò consente all’autore della minaccia di omettere sia gli indirizzi del portafoglio che i pool minerari effettivi dalla configurazione del minatore.”

Altre modifiche includono la rimozione dei noti gestori di segnale predefiniti di XMRig, per evitare di avvisare le vittime esperte dell'attività; sostituito “XMRig” con “asbuasdbu” nelle informazioni sulla versione per impedirne una facile identificazione; inoltre, alcune informazioni sull'utilizzo sono state rimosse, probabilmente per eludere il rilevamento da parte di prodotti di sicurezza e minatori concorrenti di altri gruppi di cryptojacking.

La versione personalizzata del minatore ha anche una vena omicida, uccidendo tutti i minatori concorrenti (e alcuni altri processi nella lista nera) che trova sulla macchina al fine di massimizzare l'efficienza del mining.

"In base alle parole chiave utilizzate, gli sviluppatori di bot sono più interessati a eliminare altri miner rispetto ad altri bot IoT", secondo FortiGuard. "Ciò riafferma la loro attenzione sul cryptojacking rispetto agli attacchi DDoS, almeno sulle macchine x64."

Come prevenire le infezioni da RapperBot

Gli autori di RapperBot evolvono regolarmente il loro malware, con analisi precedenti dei ricercatori FortiGuard che hanno scoperto di aver aggiunto funzionalità come l'abilità per mantenere la persistenza su macchine infette anche dopo un riavvio e quindi abilitando l'autopropagazione tramite un downloader binario remoto. Successivamente, gli autori del malware hanno rimosso la funzionalità di autopropagazione e ne hanno aggiunta una che consentiva loro l’accesso remoto persistente ai server SSH a forza bruta, hanno osservato i ricercatori.

Tuttavia, l’aspetto brutale della sua strategia di accesso iniziale consente a RapperBot di bloccarsi nonostante i cambiamenti, hanno spiegato. È semplice: buona igiene delle password.

"RapperBot continua a rappresentare una minaccia pericolosa a causa dei suoi continui aggiornamenti", hanno osservato nell'ultimo post. "Poiché il suo principale vettore di infezione che compromette i servizi SSH utilizzando password deboli o predefinite rimane lo stesso, mitigarlo abilitando l'autenticazione con chiave pubblica o impostando password complesse per tutti i dispositivi connessi a Internet è ancora efficace nel mitigare questa minaccia."

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoAiStream. Intelligenza dei dati Web3. Conoscenza amplificata. Accedi qui.
• Coniare il futuro con Adryenn Ashley. Accedi qui.
• Acquista e vendi azioni in società PRE-IPO con PREIPO®. Accedi qui.
• Fonte: https://www.darkreading.com/threat-intelligence/rapperbot-crew-drops-ddos-cryptojacking-botnet-collab