Chiến dịch RapperBot đang thu hút một số tài năng mới vào kho vũ khí phần mềm độc hại của mình, bổ sung khả năng khai thác tiền điện tử cho phần mềm độc hại botnet từ chối dịch vụ (DDoS) phân tán hiện có để mở rộng tầm nhìn tài chính của nó.
Theo một phân tích RapperBot được phát hành trong tuần này bởi FortiGuard Labs của Fortinet, thành phần mã hóa của phần mềm độc hại là một biến thể tùy chỉnh của công cụ khai thác XMRig Monero nổi tiếng, được thiết kế riêng cho máy Intel x64.
Các nhà nghiên cứu giải thích trong bài đăng: “Ban đầu, họ đã triển khai và thực thi một công cụ khai thác tiền điện tử Monero riêng biệt cùng với hệ nhị phân RapperBot thông thường”. “Nhưng vào cuối tháng 2023 năm XNUMX, họ đã kết hợp cả hai chức năng này thành một bot duy nhất.”
Các nhà điều hành RapperBot nói chung trước đây đã tập trung vào việc xâm phạm các thiết bị Internet of Things (IoT) bằng cách ép buộc thông tin xác thực SSH hoặc Telnet yếu hoặc mặc định, với mục đích biến chúng thành nô lệ cho một mạng botnet. Các Mạng botnet dựa trên Mirai, hoạt động từ tháng 6 năm ngoái, đã được sử dụng trong một số chiến dịch DDoS, nhưng rõ ràng băng nhóm này đã nhìn thấy cơ hội kiếm được nhiều tiền hơn bằng cách mở rộng những gì mạng botnet có thể đạt được.
Các nhà nghiên cứu của FortiGuard giải thích: “Các nhà điều hành botnet có động cơ tài chính luôn tìm cách thu được giá trị tối đa từ các máy bị nhiễm botnet của họ”. “Các tác nhân đe dọa đằng sau mạng botnet RapperBot cũng không ngoại lệ, bằng chứng rõ ràng là việc chúng bổ sung khả năng mã hóa để nhắm mục tiêu vào các máy x64.”
RapperBot feat. Cryptojacking: Một sự hợp tác hợp lý
Theo các nhà nghiên cứu của FortiGuard, XMRig là một công cụ khai thác Monero mã nguồn mở và việc nó được kết hợp bởi một mạng botnet DDoS chuyên phá hoại các thiết bị IoT của người tiêu dùng là hợp lý.
Họ lưu ý trong bài đăng: “Monero (XMR) là một loại tiền điện tử phổ biến được các tác nhân đe dọa khai thác bất hợp pháp vì các tính năng nâng cao quyền riêng tư của nó”. “Nó cũng được thiết kế để có khả năng chống lại các công cụ khai thác mạch tích hợp (ASIC) dành riêng cho ứng dụng tốt hơn, giúp khai thác có lợi nhuận chỉ với phần cứng cấp độ người tiêu dùng.”
Các nhà phân tích của FortiGuard lần đầu tiên nhận thấy có điều gì đó mới mẻ với RapperBot vào cuối tháng 64, khi họ thu thập mẫu xXNUMX lớn hơn đáng kể so với mẫu thông thường của phần mềm độc hại.
Họ giải thích: “Khi phân tích sâu hơn, chúng tôi đã xác minh rằng các nhà phát triển bot đã hợp nhất mã nguồn RapperBot C với mã C++ của công cụ khai thác XMRig Monero để tạo ra một ứng dụng khách bot kết hợp có khả năng khai thác”.
Theo phân tích, việc hợp nhất cả hai lại với nhau thay vì triển khai chúng một cách riêng biệt mang lại một số lợi thế. Thứ nhất, nó cho phép các nhà khai thác kết hợp khả năng khai thác vào khả năng tự lan truyền hoặc cưỡng bức SSH hiện có của botnet - hữu ích vì XMRig vốn không có. Bằng cách này, họ không cần phải theo dõi việc lây nhiễm botnet để cài đặt công cụ khai thác trên từng máy riêng lẻ theo cách thủ công.
Ngoài ra, “việc hợp nhất mã bot và công cụ khai thác có thể là một nỗ lực nhằm ẩn các nhóm khai thác và địa chỉ ví Monero bằng cách sử dụng cùng một mã hóa XOR hai lớp để chúng không bị lộ rõ ràng,” họ nói thêm.
Các mod tùy chỉnh để tạo ra sự kết hợp DDoS-Cryptojacking
Theo FortiGuard, để tạo nhị phân lai, các tác giả của RapperBot cần thực hiện một số thay đổi quan trọng về mã. Đầu tiên, khả năng đọc các tệp cấu hình bên ngoài của XMRig phải bị loại bỏ, do đó nó sẽ mặc định luôn sử dụng cấu hình được tích hợp trong chính hệ nhị phân botnet.
Các nhà nghiên cứu giải thích: “Bot giải mã các nhóm khai thác và địa chỉ ví Monero, đồng thời cập nhật cấu hình được mã hóa cứng trước khi khởi động công cụ khai thác nhúng”. “Công cụ khai thác cũng được cấu hình để sử dụng nhiều nhóm khai thác nhằm mục đích dự phòng và bổ sung quyền riêng tư. Hai trong số đó là các proxy khai thác được lưu trữ trên chính IP RapperBot C2. Điều này cho phép kẻ đe dọa bỏ qua cả địa chỉ ví và nhóm khai thác thực tế khỏi cấu hình công cụ khai thác.”
Những thay đổi khác bao gồm việc loại bỏ các trình xử lý tín hiệu mặc định nổi tiếng của XMRig, để tránh cảnh báo những nạn nhân hiểu biết về hoạt động này; đã thay thế “XMRig” bằng “asbuasdbu” trong thông tin phiên bản để tránh dễ dàng nhận dạng; và, một số thông tin sử dụng nhất định đã bị xóa, có khả năng tránh bị phát hiện bởi các sản phẩm bảo mật và các công cụ khai thác cạnh tranh từ các nhóm khai thác tiền điện tử khác.
Phiên bản tùy chỉnh của công cụ khai thác cũng có tính năng giết người, giết chết bất kỳ công cụ khai thác cạnh tranh nào (và một số quy trình nằm trong danh sách đen khác) mà nó tìm thấy trên máy để tối đa hóa hiệu quả khai thác.
Theo FortiGuard, “Dựa trên các từ khóa được sử dụng, các nhà phát triển bot quan tâm đến việc chấm dứt các công cụ khai thác khác hơn các bot IoT khác”. “Điều này khẳng định lại sự tập trung của họ vào việc tấn công cryptojacking và DDoS, ít nhất là trên các máy x64.”
Cách ngăn ngừa nhiễm trùng RapperBot
Các tác giả của RapperBot thường xuyên phát triển phần mềm độc hại của họ, với các phân tích trước đây từ các nhà nghiên cứu của FortiGuard nhận thấy rằng họ đã bổ sung các khả năng như khả năng để duy trì sự kiên trì trên các máy bị nhiễm ngay cả sau khi khởi động lại và sau đó cho phép tự lan truyền thông qua trình tải xuống nhị phân từ xa. Các nhà nghiên cứu lưu ý rằng sau đó, các tác giả phần mềm độc hại đã loại bỏ tính năng tự lan truyền và thêm một tính năng cho phép chúng truy cập từ xa liên tục vào các máy chủ SSH bị ép buộc.
Tuy nhiên, khía cạnh cưỡng bức của chiến lược truy cập ban đầu khiến RapperBot có thể chặn bất chấp những thay đổi, họ giải thích. Thật đơn giản: vệ sinh mật khẩu tốt.
“RapperBot tiếp tục là một mối đe dọa nguy hiểm do được cập nhật liên tục,” họ lưu ý trong bài đăng mới nhất. “Vì phương thức lây nhiễm chính của nó là xâm phạm các dịch vụ SSH bằng mật khẩu yếu hoặc mặc định vẫn giữ nguyên, việc giảm thiểu nó bằng cách bật xác thực khóa chung hoặc đặt mật khẩu mạnh cho tất cả các thiết bị kết nối Internet vẫn có hiệu quả trong việc giảm thiểu mối đe dọa này.”
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoAiStream. Thông minh dữ liệu Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Đúc kết tương lai với Adryenn Ashley. Truy cập Tại đây.
- Mua và bán cổ phần trong các công ty PRE-IPO với PREIPO®. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/threat-intelligence/rapperbot-crew-drops-ddos-cryptojacking-botnet-collab
- : có
- :là
- :không phải
- 2023
- 7
- a
- có khả năng
- truy cập
- hoàn thành
- Theo
- hoạt động
- hoạt động
- diễn viên
- thêm
- thêm
- Ngoài ra
- thêm vào
- địa chỉ
- lợi thế
- Sau
- nhằm mục đích
- Tất cả
- cho phép
- bên cạnh
- Ngoài ra
- luôn luôn
- an
- phân tích
- phân tích
- Các nhà phân tích
- và
- bất kì
- LÀ
- Arsenal
- AS
- ASIC
- khía cạnh
- At
- Các cuộc tấn công
- Xác thực
- tác giả
- tránh
- dựa
- BE
- bởi vì
- được
- trước
- sau
- DANH SÁCH ĐEN
- Chặn
- Bot
- cả hai
- Mạng lưới
- botnet
- chương trình
- Đưa
- xây dựng
- nhưng
- by
- C + +
- Chiến dịch
- Chiến dịch
- CAN
- khả năng
- nhất định
- Những thay đổi
- trong sáng
- Rõ ràng
- khách hàng
- mã
- kết hợp
- Chung
- cạnh tranh
- ảnh hưởng
- Cấu hình
- kết nối
- người tiêu dùng
- liên tiếp
- tạo
- cryptocurrency
- Cryptojacking
- khách hàng
- tùy chỉnh
- Nguy hiểm
- DDoS
- Mặc định
- triển khai
- triển khai
- thiết kế
- Mặc dù
- Phát hiện
- phát triển
- Thiết bị (Devices)
- phân phối
- don
- Giọt
- hai
- mỗi
- dễ dàng
- Hiệu quả
- hiệu quả
- thành phần
- nhúng
- cho phép
- Ngay cả
- phát triển
- ngoại lệ
- hiện tại
- Mở rộng
- mở rộng
- Giải thích
- tiếp xúc
- ngoài
- trích xuất
- kỳ
- Đặc tính
- Tính năng
- vài
- Các tập tin
- tài chính
- tài chính
- tìm kiếm
- tìm thấy
- Tên
- Tập trung
- tập trung
- theo
- Trong
- Fortinet
- tươi
- từ
- chức năng
- xa hơn
- Đám
- hộp số
- nói chung
- được
- được
- Các nhóm
- có
- phần cứng
- Có
- Ẩn giấu
- Horizons
- tổ chức
- HTTPS
- Hỗn hợp
- Xác định
- bất hợp pháp
- in
- bao gồm
- hệ thống riêng biệt,
- nhiễm trùng
- thông tin
- ban đầu
- ban đầu
- cài đặt, dựng lên
- thay vì
- tích hợp
- Intel
- quan tâm
- Internet
- Internet của sự vật
- trong
- iốt
- IP
- IT
- ITS
- chính nó
- Tháng một
- jpg
- tháng sáu
- chỉ
- Key
- Phòng thí nghiệm
- lớn hơn
- Họ
- Trễ, muộn
- một lát sau
- mới nhất
- ít nhất
- Lượt thích
- Có khả năng
- hợp lý
- máy
- Máy móc
- duy trì
- làm cho
- LÀM CHO
- phần mềm độc hại
- thủ công
- Tối đa hóa
- tối đa
- sáp nhập
- Might
- thợ mỏ
- Thợ mỏ
- Khai thác mỏ
- Bể khai thác
- giảm nhẹ
- Monero
- Monero (XMR)
- chi tiết
- động cơ
- nhiều
- cần thiết
- Cũng không
- Mới
- Không
- lưu ý
- of
- off
- Cung cấp
- on
- ONE
- mã nguồn mở
- khai thác
- Cơ hội
- or
- gọi món
- Nền tảng khác
- Mật khẩu
- Mật khẩu
- qua
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Hồ bơi
- Phổ biến
- có thể
- Bài đăng
- ngăn chặn
- trước
- chính
- riêng tư
- Quy trình
- Sản phẩm
- công khai
- chính công
- Đọc
- khẳng định lại
- phát hành
- vẫn còn
- xa
- truy cập từ xa
- loại bỏ
- Đã loại bỏ
- thay thế
- nhà nghiên cứu
- kháng
- s
- tương tự
- hiểu
- an ninh
- ý nghĩa
- riêng biệt
- Các máy chủ
- DỊCH VỤ
- thiết lập
- một số
- Tín hiệu
- có ý nghĩa
- đáng kể
- Đơn giản
- kể từ khi
- duy nhất
- So
- một số
- một cái gì đó
- nguồn
- mã nguồn
- chuyên
- đặc biệt
- Bắt đầu
- Vẫn còn
- Chiến lược
- vệt
- mạnh mẽ
- phù hợp
- Năng lực
- Mục tiêu
- hơn
- việc này
- Sản phẩm
- cung cấp their dịch
- Them
- sau đó
- họ
- điều
- điều này
- mối đe dọa
- diễn viên đe dọa
- đến
- bên nhau
- hai
- Cập nhật
- Sử dụng
- sử dụng
- đã sử dụng
- sử dụng
- giá trị
- biến thể
- xác minh
- phiên bản
- thông qua
- nạn nhân
- vs
- ví
- là
- Đường..
- we
- nổi tiếng
- Điều gì
- khi nào
- cái nào
- với
- sẽ
- XMR
- zephyrnet
