导语:RapperBot是一个新的Mirai变种,是一个典型的通过相对不常见或以前未被发现的感染渠道传播的恶意软件。RapperBot最初于去年作为物联网(IoT)恶意软件出现,它包含了大量的Mirai源代码,但与其他Mirai变体相比,其攻击能力明显不同。
去年跟踪该恶意软件的Fortinet研究人员注意到其制造者在不断完善它,首先是增加新的代码确保即使在PC重启后也能持续运行,然后是通过远程二进制下载器插入代码进行自我传播。后来,病毒编写者删除了它的自我传播功能,取而代之的是使他们能够持续远程暴力破解SSH服务器。
卡巴斯基研究人员在2022年第四季度检测到一个新的RapperBot变体互联网上传播,其中的SSH暴力破解功能已被删除,取而代之的是针对telnet服务器进行破解的功能。
根据卡巴斯基对该恶意软件的检查,它也有一个相对 ”智能” 的telnet暴力破解功能。该病毒不是用大量的凭证进行暴力攻击,而是在与设备进行远程连接时检查其收到的提示,并在此基础上为暴力攻击选择适当的凭证字典。卡巴斯基说,与其他许多恶意软件的解决方案相比,这确实大大加快了暴力攻击的进程。
卡巴斯基的高级安全研究员Jornt van der Wiel解释说,当你telnet到一个设备时,你通常会得到一个提示。正如RapperBot所说,该提示可以暴露某些信息,它可以用来确定攻击哪个设备和利用哪些凭证。
他声称,RapperBot会根据被攻击的物联网设备,利用不同的凭证。因此,对于设备A,它使用用户/密码集A;而对于设备B,它使用用户/密码集B。
然后,该恶意软件会使用 "wget"、"curl "和 "ftpget "等命令,将自己下载到目标系统上。卡巴斯基表示,如果这些技术都不成功,恶意软件就会下载并安装在设备上。
RapperBot的暴力破解方法是非常不寻常的,Jornt van der Wiel说他想不出还有什么其他恶意软件曾经使用过这种方法。尽管如此,鉴于该领域仍有大量的恶意软件副本,不可能说这是目前唯一采用这种策略进行的感染的恶意软件。
新的和不同寻常的攻击策略
卡巴斯基表示,RapperBot是恶意软件中的一个很好的例子,它使用了不寻常的、通常是以前所未知的策略来进行传播。另一个例子是 "Rhadamanthys",这是一个在俄语网络犯罪论坛上作为恶意软件即服务的窃密软件。该窃密软件是威胁者利用恶意广告传播的恶意软件家族中的一个。
在一些网络平台上,攻击者会植入带有恶意软件的广告或带有钓鱼网站链接的广告。通常情况下,这些广告是为那些真正的软件程序提供的,页面包含的关键词可以确保它们可以在搜索引擎的结果中或在用户访问特定网站时出现在首页。最近几个月,威胁者利用恶意广告来攻击LastPass、Bitwarden和1Password等流行密码管理器的用户。
威胁者在使用恶意广告进行欺诈方面越来越成功,也直接推动了该策略的使用。例如,Rhadamanthys的作者在利用恶意广告之前,通常是利用网络钓鱼和垃圾邮件作为第一个感染载体。
安全专家解释说,Rhadamanthys的做法与其他恶意广告活动没有什么不同。然而,从这个工具可以看到,恶意广告正在变得成为一种趋势。
卡巴斯基发现的另一个趋势是,攻击者越来越多地开始使用开源恶意软件进行攻击。比如CueMiner,这是一个挖矿恶意软件。据卡巴斯基研究人员说,这个软件是通过BitTorrent或OneDrive共享网络下载的破解软件来传播的。
由于它的开源性质,每个人都可以下载和编译它,由于这些用户通常不是非常高级的网络犯罪分子,他们一般会使用相对简单的感染机制,如BitTorrent和OneDrive。
本文翻译自:https://www.cysecurity.news/2023/04/this-new-mirai-variant-uses-peculiar.html如若转载,请注明原文地址
