A RapperBot trójai 2021 májusában kezdte meg nemkívánatos ténykedését, de erre először csak tavaly augusztusban derült fény, amikor a Fortinet biztonsági kutatói leleplezték a károkozót.

Azóta a trójai rendszeresen újabb variánsok formájában jelent meg, miközben szorgosan építette a botnet hálózatát. Ennek célja, hogy elosztott szolgáltatásmegtagadási (DDoS) támadások végrehajtását segítse elő a kiberbűnözők számára.

A RapperBot korábbi verziója elsősorban SSH-alapú támadásokat hajtott végre brute force módszerek alkalmazásával. A legújabb változata azonban a Telnet adta lehetőségekre építkezik. A brute force szemlélet viszont megmaradt, igaz a hozzáférések próbálgatásához tartozó listát – a korábbiaktól eltérően – nem a vezérlőszerveréről szerzi be, hanem azt a kódjába “beégetett” módon tárolja. Ugyanakkor ezt az integrált listát optimalizáltan használja fel a célkeresztbe állított eszköz típusának megfelelően. Amennyiben sikerrel jár, akkor egy értesítést küld a vezérlőszervereire (az 5123-as porton keresztül), majd nekilát különféle kártékony kódok telepítéséhez.

A RapperBot korábbi variánsainak képességei a támogatott DDoS-módszerek tekintetében viszonylag szerények voltak, de az új verzió e téren sajnos sokat fejlődött. Egyebek mellett az alábbi technikákat is képes bevetni:

• UDP flood
• TCP flood
• TCP SYN flood
• TCP ACK flood
• TCP STOMP flood
• UDP SA:MP flood (GTA San Andreas: Multi Player támadáshoz)
• GRE Ethernet flood
• GRE IP flood

A Fortinet vizsgálatai arra derítettek fényt, hogy a RapperBot a legutóbbi támadásai során elsősorban olyan szervereket vesz célba, amelyek online játékok kiszolgálását végzik. Ennél fogva most elsősorban a játékok üzemeltetői, illetve a játékosok számára tud bosszúságot okozni. Mindez azonban nem jelenti azt, hogy egyéb szerverek ellen ne indíthatna támadásokat.

Forrás: Biztonságportál