Une nouvelle version du malware botnet RapperBot est utilisée pour cibler les serveurs de jeux avec des attaques DDoS. Les appareils IoT sont utilisés comme passerelles pour atteindre les serveurs.
Serveurs de jeu ciblés par des attaquants DDoS
Les acteurs de la menace utilisent le logiciel malveillant RapperBot pour effectuer des opérations distribuées déni de service (DDoS) attaques sur les serveurs de jeux. Les plates-formes Linux risquent d'être attaquées par ce botnet très dangereux.
Dans un Article de blog Fortinet, il a été déclaré que RapperBot est probablement destiné aux serveurs de jeux en raison des commandes spécifiques qu'il prend en charge et de l'absence d'attaques DDoS liées à HTTP. IdO (Internet des objets) les appareils sont à risque ici, bien qu'il semble que RapperBot se préoccupe davantage de cibler les appareils plus anciens équipés du chipset Qualcomm MDM9625.
RapperBot semble cibler les appareils fonctionnant sur les architectures ARM, MIPS, PowerPC, SH4 et SPARC, bien qu'il ne soit pas conçu pour fonctionner sur les chipsets Intel.
Ce ne sont pas les débuts de RapperBot
RapperBot n'est pas nouveau dans le domaine de la cybercriminalité, même s'il n'existe pas non plus depuis des années. RapperBot a été remarqué pour la première fois dans la nature en août 2022 par Fortinet, bien qu'il ait depuis été confirmé qu'il était opérationnel depuis mai de l'année précédente. Dans ce cas, RapperBot était utilisé pour lancer SSH attaques par force brute se propager sur les serveurs Linux.
Fortinet a déclaré dans le billet de blog susmentionné que la différence la plus significative dans cette version mise à jour de RapperBot est "le remplacement complet du code de forçage brutal SSH par le code Telnet plus habituel équivalent".
Ce code Telnet est conçu pour l'auto-propagation, qui ressemble étroitement et peut être inspiré par l'ancien botnet Mirai IoT qui fonctionne sur des processeurs ARC. Le code source de Mirai a fui fin 2016, ce qui a conduit à la création de nombreuses versions modifiées (dont l'une peut être RapperBot).
Mais contrairement à Mirai, cette itération des téléchargeurs binaires intégrés de RapperBot est "stockée sous forme de chaînes d'octets échappés, probablement pour simplifier l'analyse et le traitement dans le code", comme indiqué dans le billet du blog Fortinet concernant la nouvelle version du botnet.
Les opérateurs du botnet ne sont pas connus
Au moment de la rédaction, les opérateurs de RapperBot restent anonymes. Cependant, Fortinet a déclaré qu'un seul acteur malveillant ou groupe d'acteurs ayant accès au code source sont les scénarios les plus probables. Plus d'informations à ce sujet pourraient être publiées dans un proche avenir.
Il est également probable que cette version mise à jour de RapperBot soit probablement utilisée par les mêmes personnes qui a opéré l'itération précédente, car ils auraient besoin d'accéder au code source pour effectuer attaques.
L'activité de RapperBot continue d'être surveillée
Fortinet a terminé son article de blog concernant la variante RapperBot mise à jour en assurant aux lecteurs que l'activité du malware sera surveillée à l'avenir. Ainsi, nous pouvons continuer à voir plus d'exemples d'utilisation de RapperBot au fil du temps.