Malware RapperBot IoT Baru Menargetkan Server Linux melalui SSH Brute-Forcing Attack

  • Bagikan
IoT RapperBot Malware

Beritaini.top Malware RapperBot IoT Baru Menargetkan Server Linux melalui SSH Brute-Forcing Attack

Malware IoT RapperBot

Malware botnet IoT baru dijuluki RapperBot telah diamati kemampuannya berkembang pesat sejak pertama kali ditemukan pada pertengahan Juni 2022.

“Keluarga ini banyak meminjam dari kode sumber Mirai asli, tetapi yang membedakannya dari keluarga malware IoT lainnya adalah kemampuan bawaannya untuk memaksa kredensial dan mendapatkan akses ke server SSH alih-alih Telnet seperti yang diterapkan di Mirai,” Fortinet FortiGuard Labs dikatakan dalam sebuah laporan.

Malware, yang mendapatkan namanya dari URL yang disematkan ke video musik rap YouTube di versi sebelumnya, dikatakan telah mengumpulkan semakin banyak server SSH yang disusupi, dengan lebih dari 3.500 alamat IP unik yang digunakan untuk memindai dan memaksa jalan mereka. ke dalam server.

Keamanan cyber

Implementasi RapperBot saat ini juga menggambarkannya dari Mirai, yang memungkinkannya berfungsi sebagai alat brute-force SSH dengan kemampuan terbatas untuk melakukan serangan penolakan layanan (DDoS) terdistribusi.

Penyimpangan dari perilaku Mirai tradisional lebih lanjut dibuktikan dalam upayanya untuk membangun kegigihan pada host yang disusupi, yang secara efektif memungkinkan pelaku ancaman untuk mempertahankan akses jangka panjang lama setelah malware dihapus atau perangkat di-boot ulang.

Serangan tersebut memerlukan target potensial yang memaksa menggunakan daftar kredensial yang diterima dari server jarak jauh. Setelah berhasil membobol server SSH yang rentan, kredensial yang valid dieksfiltrasi kembali ke command-and-control.

“Sejak pertengahan Juli, RapperBot telah beralih dari self-propagation ke mempertahankan akses jarak jauh ke server SSH yang dipaksakan,” kata para peneliti.

Malware IoT RapperBot

Akses dicapai dengan menambahkan kunci publik SSH operator ke file khusus yang disebut “~/.ssh/authorized_keys,” mengizinkan musuh untuk terhubung dan mengautentikasi ke server menggunakan kunci pribadi yang sesuai tanpa harus memberikan kata sandi.

“Ini menghadirkan ancaman bagi server SSH yang disusupi karena pelaku ancaman dapat mengaksesnya bahkan setelah kredensial SSH diubah atau otentikasi kata sandi SSH dinonaktifkan,” para peneliti menjelaskan.

“Selain itu, karena file diganti, semua kunci resmi yang ada dihapus, yang mencegah pengguna yang sah mengakses server SSH melalui otentikasi kunci publik.”

Pergeseran ini juga memungkinkan malware untuk mempertahankan aksesnya ke perangkat yang diretas ini melalui SSH, memungkinkan pelaku untuk memanfaatkan pijakan untuk melakukan serangan penolakan layanan bergaya Mirai.

Perbedaan dari keluarga malware IoT lainnya memiliki efek samping yang membuat motivasi utamanya menjadi misteri, fakta yang semakin diperumit oleh fakta bahwa penulis RapperBot telah meninggalkan sedikit atau tidak ada tanda-tanda asal mereka.

Keamanan cyber

Penghapusan propagasi diri demi kegigihan meskipun, botnet dikatakan telah mengalami perubahan signifikan dalam rentang waktu singkat, kepala di antaranya adalah penghapusan fitur serangan DDoS dari artefak pada satu titik, hanya untuk diperkenalkan kembali seminggu kemudian.

Tujuan kampanye, pada akhirnya, tetap samar-samar, tanpa aktivitas lanjutan yang diamati setelah kompromi yang berhasil. Yang jelas adalah bahwa server SSH dengan kredensial default atau yang dapat ditebak sedang digabungkan ke dalam botnet untuk tujuan masa depan yang tidak ditentukan.

Untuk menangkis infeksi semacam itu, disarankan agar pengguna menetapkan kata sandi yang kuat untuk perangkat atau menonaktifkan otentikasi kata sandi untuk SSH jika memungkinkan.

“Meskipun ancaman ini banyak meminjam kode dari Mirai, ia memiliki fitur yang membedakannya dari pendahulunya dan variannya,” kata para peneliti. “Kemampuannya untuk bertahan dalam sistem korban memberi aktor ancaman fleksibilitas untuk menggunakannya untuk tujuan jahat apa pun yang mereka inginkan.”

  • Bagikan

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.