RapperBot botnet ได้เพิ่มความสามารถ cryptojacking
พบตัวอย่างใหม่ของมัลแวร์ RapperBot botnet ได้เพิ่มความสามารถ cryptojacking เพื่อใช้สำหรับขุด Cryptocurrency บนเครื่อง Intel x64 ที่ถูกโจมตี
นักวิจัยจาก FortiGuard Labs ของ Fortinet ได้ติดตามกิจกรรมของ RapperBot ตั้งแต่เดือนมิถุนายน 2565 และกล่าวว่า Mirai-based botnet นั้นมุ่งเน้นการโจมตีไปที่เซิร์ฟเวอร์ Linux SSH โดยใช้วิธีการ
Brute-forcing เพื่อทำการโจมตีเเบบปฏิเสธการให้บริการ (DDoS)
ในเดือนพฤศจิกายน 2565 นักวิจัยพบ RapperBot เวอร์ชันอัปเดตซึ่งใช้กลไกการแพร่กระจายด้วยตนเองของ Telnet และรวมคำสั่ง DoS ที่ใช้สำหรับการโจมตีเซิร์ฟเวอร์เกม
FortiGuard Labs พบว่า botnet ได้รับการกำหนดค่าการขุดจากเซิร์ฟเวอร์ C2 แทนที่จะใช้ Static Pool แบบ Hardcoded เเต่ใช้ Multiple Pools และ Wallets หลายตัวเพื่อสำรองข้อมูล
C2 IP address ยังโฮสต์กับ Mining Proxies 2 ตัวซึ่งทำให้ยากต่อการวิเคราะห์ เเละหาก C2 ออฟไลน์ RapperBot จะได้รับการกำหนดค่าให้ใช้ Public Mining Pool
RapperBot เวอร์ชันวิเคราะห์ล่าสุด โปรโตคอลเครือข่ายไบนารีสำหรับการสื่อสาร C2 ได้รับการปรับปรุงใหม่เพื่อใช้วิธีการเข้ารหัสแบบ Two-layer encoding เพื่อหลบเลี่ยงการตรวจจับจากการตรวจสอบการรับส่งข้อมูลเครือข่าย
นักวิจัยพบว่าบอทเวอร์ชันล่าสุดรองรับคำสั่งต่อไปนี้:
- Perform DDoS attacks (UDP, TCP, and HTTP GET)
- Stop DDoS attacks
- Terminate itself
คำเเนะนำ
- ควรอัปเดตซอฟต์แวร์ให้เป็นเวอร์ชันปัจจุบันอยู่เสมอ
- เปลี่ยนรหัสผ่าน default ให้เป็นรหัสผ่านที่รัดกุม
- ใช้ Firewalls เพื่อบล็อกขอที่ไม่ได้รับอนุญาต
Ref: https://www.bleepingcomputer.com/news/security/rapperbot-ddos-malware-adds-cryptojacking-as-new-revenue-stream/