 |
Una nueva red de bots llamada 'RapperBot' está siendo utilizada en ataques desde mediados de junio de 2022, centrándose en forzar su entrada en servidores SSH de Linux para establecer un punto de apoyo en el dispositivo. Los investigadores muestran que RapperBot se basa en el troyano Mirai, pero se desvía del comportamiento normal del malware original, que es la propagación incontrolada a tantos dispositivos como sea posible. |
En cambio, RapperBot está más controlado, tiene capacidades DDoS limitadas y su funcionamiento parece orientado al acceso inicial a los servidores, probablemente para ser utilizado como trampolín para el movimiento lateral dentro de una red.
Durante el último mes y medio desde su descubrimiento, la nueva red de bots utilizó más de 3.500 IPs únicas en todo el mundo para escanear e intentar forzar los servidores SSH de Linux.
Basada en Mirai, pero diferente
La nueva red de bots fue descubierta por los cazadores de amenazas de Fortinet, que se dieron cuenta de que el malware IoT presentaba algunas cadenas inusuales relacionadas con SSH y decidieron investigar más a fondo.
RapperBot resultó ser una bifurcación de Mirai, pero con su propio protocolo de mando y control (C2), características únicas y una actividad atípica (para una red de bots) después de la infección.
"A diferencia de la mayoría de las variantes de Mirai, que de forma nativa hacen fuerza bruta en servidores Telnet utilizando contraseñas predeterminadas o débiles, RapperBot escanea e intenta exclusivamente hacer fuerza bruta en servidores SSH configurados para aceptar la autenticación por contraseña", explica el informe de Fortinet.
"El grueso del código del malware contiene una implementación de un cliente SSH 2.0 que puede conectarse y forzar cualquier servidor SSH que soporte el intercambio de claves Diffie-Hellmann con claves de 768 o 2048 bits y el cifrado de datos mediante AES128-CTR".
La fuerza bruta de SSH se basa en una lista de credenciales descargada desde el C2 a través de peticiones TCP únicas en el host, mientras que el malware informa al C2 cuando ha tenido éxito.
Los investigadores de Fortinet siguieron al bot y continuaron muestreando nuevas variantes, observando que RapperBot utilizaba un mecanismo de autopropagación a través de un descargador de binarios remoto, que fue eliminado por los atacantes a mediados de julio.
Las nuevas variantes que circulaban en ese momento incluían un comando de shell que sustituía las claves SSH de la víctima por las del actor, estableciendo esencialmente una persistencia que se mantiene incluso después de los cambios de contraseña SSH.
Además, RapperBot añadió un sistema para anexar la clave SSH del actor al "~/.ssh/authorized_keys" del host, lo que ayuda a mantener el acceso en el servidor entre reinicios o incluso si el malware es encontrado y eliminado.
En las muestras más recientes analizadas por los investigadores, el bot añade el usuario root "suhelper" en los puntos finales comprometidos y crea una tarea Cron que vuelve a añadir el usuario cada hora en caso de que un administrador descubra la cuenta y la elimine.
Además, cabe destacar que los autores del malware añadieron capas adicionales de ofuscación a las cadenas en muestras posteriores, como la codificación XOR.
El objetivo de RapperBot
La mayoría de las redes de bots realizan ataques DDoS o se dedican a la minería de monedas secuestrando los recursos computacionales disponibles del host, y algunas hacen ambas cosas.
El objetivo de RapperBot, sin embargo, no es evidente, ya que los autores han mantenido sus funciones DDoS limitadas e incluso las han eliminado y reintroducido en algún momento.
Además, la eliminación de la autopropagación y la adición de mecanismos de persistencia y de evasión de la detección indican que los operadores de la botnet pueden estar interesados en la venta de acceso inicial a los actores del ransomware.
Fortinet informa de que sus analistas no vieron ninguna carga útil adicional entregada después del compromiso durante el período de seguimiento, por lo que el malware simplemente anida en los hosts Linux infectados y permanece inactivo.