更新された RapperBot マルウェアは、DDoS 攻撃でゲームサーバーを標的にします

Mirai ベースのボットネット「RapperBot」は、ゲームサーバーに対する DDoS (分散型サービス拒否) 攻撃のために IoT デバイスに感染する新しいキャンペーンを通じて再出現しました。

このマルウェアは、昨年 8 月に Fortinet の研究者によって発見されました。このマルウェアは、SSH ブルートフォーシングを使用して Linux サーバーに拡散していました。

研究者は、その活動を追跡することで、RapperBot が 2021 年 5 月から稼働していることを発見しましたが、その正確な目的を解読するのは困難でした。

最近の亜種は代わりに Telnet の自己増殖メカニズムを使用しており、これは元の Mirai マルウェアのアプローチに近いものです。

また、最新の亜種の DoS コマンドは、オンラインゲームをホストするサーバーに対する攻撃に合わせて調整されているため、現在のキャンペーンの動機はより明白です。

Table of contents

RapperBot のふたを持ち上げる

Fortinet のアナリストは、以前のキャンペーンで収集された C2 通信アーティファクトを使用して新しい亜種をサンプリングできました。これは、ボットネットの操作のこの側面が変わっていないことを示しています。

アナリストは、次のコマンドを使用した Telnet ブルートフォーシングのサポートなど、新しい亜種にいくつかの違いがあることに気付きました。

このマルウェアは、ハードコードされたリストから一般的な脆弱な認証情報を使用してデバイスをブルートフォースしようとしますが、以前は C2 からリストを取得していました。

「ブルートフォーシングの取り組みを最適化するために、マルウェアは、接続時のサーバープロンプトをハードコードされた文字列のリストと比較して、可能なデバイスを特定し、そのデバイスの既知の資格情報のみを試行します」と Fortinet は説明します。

「それほど洗練されていない IoT マルウェアとは異なり、これにより、マルウェアは資格情報の完全なリストをテストしようとすることを回避できます。」

認証情報を正常に見つけた後、ポート 5123 経由で C2 に報告し、検出されたデバイスアーキテクチャの正しいバージョンのプライマリペイロードバイナリを取得してインストールしようとします。

現在サポートされているアーキテクチャは、ARM、MIPS、PowerPC、SH4、および SPARC です。

RapperBot の古い亜種の DoS 機能は非常に限定的で汎用的だったため、研究者は、そのオペレーターが初期アクセスビジネスにより関心を持っているのではないかと推測しました。

ただし、最新の亜種では、次のような DoS 攻撃コマンドの広範なセットが追加されたことで、マルウェアの本質が明らかになりました。

HTTP DoS メソッドに基づくと、このマルウェアはゲームサーバーに対する攻撃を開始することに特化しているようです。

「このキャンペーンは、Grand Theft Auto: San Andreas Multi Player (SA:MP) mod で使用される GRE プロトコルと UDP プロトコルに対する DoS 攻撃を追加します」と Fortinet のレポートを読みます。

Fortinet は、検出されたすべての RapperBot キャンペーンが同じオペレーターによって組織化されていると考えています。これは、新しい亜種がマルウェアのソースコードへのアクセスを示しているためです。

さらに、C2 通信プロトコルは変更されておらず、ブルートフォースの試みに使用される資格情報のリストは 2021 年 8 月から同じであり、現時点でキャンペーンが重複している兆候はありません。

IoT デバイスをボットネット感染から保護するには、ファームウェアを最新の状態に保ち、既定の資格情報を強力で一意のパスワードに変更し、可能であればファイアウォールの内側に配置します。