Nowa wersja wariantu Mirai o nazwie RapperBot jest najnowszym przykładem złośliwego oprogramowania wykorzystującego stosunkowo rzadkie lub wcześniej nieznane wektory infekcji w celu rozprzestrzeniania się na szeroką skalę.
RapperBot pojawił się po raz pierwszy w zeszłym roku jako złośliwe oprogramowanie Internet of Things (IoT) zawierające duże fragmenty kodu źródłowego Mirai, ale z pewnymi zasadniczo odmiennymi funkcjami w porównaniu z innymi wariantami Mirai. Różnice obejmowały użycie nowego protokołu do komunikacji C2 (command-and-control) oraz wbudowaną funkcję serwerów SSH typu brute-force zamiast usług Telnet, co jest powszechne w wariantach Mirai.
Stale ewoluujące zagrożenie
Badacze z firmy Fortinet śledzący złośliwe oprogramowanie w zeszłym roku zaobserwowali, że jego autorzy regularnie modyfikują złośliwe oprogramowanie, najpierw przez dodanie kodu w celu utrzymania trwałości na zainfekowanych maszynach nawet po restarcie, a następnie z kodem do samorozprzestrzeniania się poprzez zdalny program do pobierania plików binarnych. Później autorzy złośliwego oprogramowania usunęli funkcję samorozprzestrzeniania się i dodali taką, która umożliwiała im trwały zdalny dostęp do serwerów SSH wymuszonych metodą brute-force.
W czwartym kwartale 2022 r. badacze firmy Kaspersky odkrył nowy wariant RapperBota krążące w środowisku naturalnym, w którym usunięto funkcję brutalnej siły SSH i zastąpiono ją możliwościami atakowania serwerów Telnet.
Analiza złośliwego oprogramowania przeprowadzona przez firmę Kaspersky wykazała, że zintegrowało ono również to, co dostawca zabezpieczeń określił jako „inteligentną” i nieco nietypową funkcję dla brutalnego telnetu. Zamiast atakować przy użyciu ogromnego zestawu danych uwierzytelniających, złośliwe oprogramowanie sprawdza monity otrzymane podczas telnetowania z urządzeniem — i na tej podstawie wybiera odpowiedni zestaw danych uwierzytelniających do ataku siłowego. To znacznie przyspiesza proces brutalnego wymuszania w porównaniu z wieloma innymi narzędziami szkodliwego oprogramowania, powiedział Kaspersky.
„Kiedy łączysz się z urządzeniem za pomocą telnetu, zazwyczaj otrzymujesz monit” — mówi Jornt van der Wiel, starszy badacz ds. bezpieczeństwa w firmie Kaspersky. Mówi, że monit może ujawnić pewne informacje, których RapperBot używa do określenia urządzenia, na które jest skierowany, i jakich poświadczeń użyć.
Mówi, że w zależności od docelowego urządzenia IoT, RapperBot używa różnych danych uwierzytelniających. „Dla urządzenia A używa zestawu użytkownika/hasła A; a dla urządzenia B używa zestawu użytkownika/hasła B” — mówi van der Wiel.
Złośliwe oprogramowanie wykorzystuje następnie różne możliwe polecenia, takie jak „wget”, „curl” i „ftpget”, aby pobrać się do systemu docelowego. Według firmy Kaspersky, jeśli te metody nie działają, złośliwe oprogramowanie korzysta z narzędzia do pobierania i instaluje się na urządzeniu.
Proces brutalnej siły RapperBot jest stosunkowo rzadki, a van der Weil mówi, że nie może wymienić innych próbek złośliwego oprogramowania, które wykorzystują to podejście.
Mimo to, biorąc pod uwagę ogromną liczbę próbek złośliwego oprogramowania w środowisku naturalnym, nie można stwierdzić, czy jest to jedyne złośliwe oprogramowanie, które obecnie stosuje to podejście. Mówi, że prawdopodobnie nie jest to pierwszy złośliwy kod wykorzystujący tę technikę.
Nowe, rzadkie taktyki
Kaspersky wskazał RapperBota jako jeden z przykładów złośliwego oprogramowania wykorzystującego rzadkie i czasami wcześniej niewidziane techniki do rozprzestrzeniania się.
Innym przykładem jest „Rhadamanthys”, narzędzie do kradzieży informacji dostępne w ramach opcji złośliwego oprogramowania jako usługi na rosyjskojęzycznym forum cyberprzestępczym. Narzędzie do kradzieży informacji należy do rosnącej liczby rodzin złośliwego oprogramowania, które cyberprzestępcy zaczęli rozpowszechniać za pośrednictwem złośliwych reklam.
Taktyka polega na tym, że adwersarze umieszczają reklamy zawierające złośliwe oprogramowanie lub reklamy z linkami do stron phishingowych na internetowych platformach reklamowych. Często reklamy dotyczą legalnego oprogramowania i aplikacji oraz zawierają słowa kluczowe, które zapewniają, że pojawiają się wysoko w wynikach wyszukiwania lub gdy użytkownicy przeglądają określone witryny. W ostatnich miesiącach ugrupowania cyberprzestępcze wykorzystywały tak zwane złośliwe reklamy docelowi użytkownicy powszechnie używanych menedżerów haseł takich jak LastPass, Bitwarden i 1Password.
Rosnący sukces, jaki cyberprzestępcy odnieśli w oszustwach związanych ze złośliwym oprogramowaniem, pobudza wzrost wykorzystania tej techniki. Na przykład autorzy Rhadamanthys początkowo wykorzystywali wiadomości e-mail typu phishing i spam, zanim przestawili się na złośliwe reklamy jako początkowy wektor infektora.
„Rhadamanthys nie różni się niczym od innych kampanii wykorzystujących złośliwe reklamy” — mówi van der Weil. „Jest to jednak część trendu, w którym złośliwe reklamy stają się coraz bardziej popularne”.
Kolejnym trendem, który zauważył Kaspersky, jest rosnące wykorzystanie szkodliwego oprogramowania typu open source wśród mniej wykwalifikowanych cyberprzestępców.
Weźmy CueMiner, narzędzie do pobierania złośliwego oprogramowania wydobywającego monety dostępne na GitHub. Badacze firmy Kaspersky zaobserwowali, że osoby atakujące dystrybuują szkodliwe oprogramowanie za pomocą trojanizowanych wersji złamanych aplikacji pobranych za pośrednictwem BitTorrent lub z sieci udostępniania OneDrive.
„Ze względu na charakter open source każdy może go pobrać i skompilować” — wyjaśnia van der Weil. „Ponieważ ci użytkownicy zazwyczaj nie są bardzo zaawansowanymi cyberprzestępcami, muszą polegać na stosunkowo prostych mechanizmach infekcji, takich jak BitTorrent i OneDrive”.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
- Źródło: https://www.darkreading.com/remote-workforce/new-mirai-variant-employs-uncommon-tactics-to-distribute-malware
- :Jest
- $W GÓRĘ
- 2022
- 7
- a
- dostęp
- Stosownie
- aktorzy
- Ad
- w dodatku
- Reklamy
- zaawansowany
- Po
- wśród
- analiza
- i
- aplikacje
- podejście
- właściwy
- mobilne i webowe
- SĄ
- AS
- At
- atakować
- Autorzy
- dostępny
- na podstawie
- staje
- zanim
- BitTorrent
- wbudowany
- by
- nazywa
- Kampanie
- CAN
- możliwości
- pewien
- Wykrywanie urządzeń szpiegujących
- obiegowy
- kod
- wspólny
- Komunikacja
- w porównaniu
- zawierać
- pęknięty
- Listy uwierzytelniające
- Obecnie
- CYBERPRZESTĘPCA
- cyberprzestępcy
- opisane
- Ustalać
- urządzenie
- Różnice
- różne
- rozprowadzać
- rozdzielczy
- Nie
- pobieranie
- e-maile
- zatrudnia
- silnik
- zapewnić
- Parzyste
- ewoluuje
- przykład
- Objaśnia
- rodzin
- Cecha
- i terminów, a
- W razie zamówieenia projektu
- Fortinet
- Forum
- Czwarty
- od
- Funkcjonalność
- otrzymać
- GitHub
- dany
- Rozwój
- Have
- Wysoki
- Jednak
- HTTPS
- olbrzymi
- niemożliwy
- in
- włączony
- Zwiększać
- Informacje
- Informacja
- początkowy
- początkowo
- przykład
- zintegrowany
- Inteligentny
- Internet
- Internet przedmiotów
- Internet przedmiotów
- Urządzenie IoT
- IT
- JEGO
- samo
- jpg
- Kaspersky
- język
- duży
- Nazwisko
- Ostatni rok
- LastPass
- firmy
- Prawdopodobnie
- linki
- maszyny
- utrzymać
- malware
- wiele
- metody
- miesięcy
- jeszcze
- Nazwa
- Natura
- sieci
- Nowości
- numer
- of
- on
- ONE
- Online
- koncepcja
- open source
- Option
- Inne
- część
- Hasło
- phishing
- Witryny wyłudzające informacje
- kawałek
- Sadzenie
- Platformy
- plato
- Analiza danych Platona
- PlatoDane
- Popularny
- możliwy
- poprzednio
- wygląda tak
- Produkty
- protokół
- Kwartał
- RZADKO SPOTYKANY
- raczej
- Odebrane
- niedawny
- regularnie
- stosunkowo
- zdalny
- zdalny dostęp
- Usunięto
- otrzymuje
- badacz
- Badacze
- Efekt
- ujawniać
- Rosyjski
- s
- Powiedział
- mówią
- oszustwa
- Szukaj
- Wyszukiwarka
- bezpieczeństwo
- senior
- Serwery
- Usługi
- zestaw
- dzielenie
- znacznie
- Prosty
- Witryny
- So
- Tworzenie
- kilka
- nieco
- Źródło
- Kod źródłowy
- spam
- prędkości
- rozpiętość
- sukces
- taki
- Powierzchnia
- system
- taktyka
- cel
- ukierunkowane
- kierowania
- Techniki
- że
- Połączenia
- Im
- Te
- rzeczy
- groźba
- podmioty grożące
- do
- narzędzia
- Śledzenie
- Trend
- zazwyczaj
- Niezwykły
- dla
- posługiwać się
- Użytkownicy
- Wariant
- różnorodność
- sprzedawca
- wersja
- przez
- strony internetowe
- Co
- który
- szeroko
- Dziki
- w
- Praca
- rok
- You
- zefirnet
