RapperBot DDoS 악성코드, 크립토재킹을 새로운 수익원으로 추가
RapperBot 봇넷 악성 코드의 새로운 샘플에는 손상된 Intel x64 시스템에서 암호화폐를 채굴할 수 있는 크립토재킹 기능이 추가되었습니다.
개발자는 먼저 봇넷 악성 코드와 별도로 암호화폐 채굴 구성 요소를 추가하면서 변화가 점진적으로 발생했습니다. 1월 말에 봇넷과 암호화폐 채굴 기능이 단일 유닛으로 결합되었습니다.
Fortinet의 FortiGuard Labs 연구원들은 2022년 6월부터 RapperBot 활동을 추적해 왔으며 Mirai 기반 봇넷이 분산 서비스 거부(DDoS) 공격을 실행하기 위해 Linux SSH 서버를 모집하기 위해 무차별 대입 공격에 집중했다고 보고했습니다.
지난 11월, 연구원들은 Telnet 자체 전파 메커니즘을 사용하고 게임 서버에 대한 공격에 더 적합한 DoS 명령을 포함하는 RapperBot의 업데이트 버전을 발견했습니다.
이번 주 FortiGuard Labs는 Intel x64 아키텍처에서 XMRig Monero 마이너를 사용하는 업데이트된 RapperBot 변종에 대해 보고했습니다.
사이버 보안 회사는 이 캠페인이 1월부터 활성화되었으며 주로 IoT 장치를 표적으로 삼고 있다고 밝혔습니다.
이제 채굴자의 코드가 이중 레이어 XOR 인코딩으로 난독화된 RapperBot에 통합되어 분석가로부터 채굴 풀과 Monero 채굴 주소를 효과적으로 숨깁니다.
FortiGuard Labs는 봇이 하드코딩된 정적 풀 주소를 갖는 대신 명령 및 제어(C2) 서버로부터 마이닝 구성을 수신하고 중복성을 위해 여러 풀과 지갑을 사용한다는 사실을 발견했습니다.
C2 IP 주소는 추적을 더욱 난독화하기 위해 두 개의 마이닝 프록시를 호스팅하기도 합니다. C2가 오프라인 상태가 되면 RapperBot은 공개 채굴 풀을 사용하도록 구성됩니다.
채굴 성능을 극대화하기 위해 악성코드는 침해된 시스템에서 실행 중인 프로세스를 열거하고 경쟁 채굴자에 해당하는 프로세스를 종료합니다.
RapperBot의 최신 분석 버전에서는 C2 통신용 바이너리 네트워크 프로토콜이 네트워크 트래픽 모니터의 탐지를 회피하기 위해 2계층 인코딩 접근 방식을 사용하도록 개선되었습니다.
또한 C2 서버로 전송되는 요청의 크기와 간격을 무작위로 지정하여 교환을 더욱 은밀하게 만들어 쉽게 인식할 수 있는 패턴을 만듭니다.
연구원들은 C2 서버에서 분석된 샘플로 전송된 DDoS 명령을 관찰하지 못했지만 최신 봇 버전이 다음 명령을 지원하는 것을 발견했습니다.
RapperBot은 빠르게 진화하고 있으며 운영자의 이익을 극대화하기 위해 기능 목록을 확장하고 있는 것으로 보입니다.
RapperBot 및 유사한 악성 코드로부터 장치를 보호하려면 사용자는 소프트웨어를 최신 상태로 유지하고, 불필요한 서비스를 비활성화하고, 기본 비밀번호를 강력한 비밀번호로 변경하고, 방화벽을 사용하여 무단 요청을 차단하는 것이 좋습니다.
새로운 Horabot 캠페인이 피해자의 Gmail, Outlook 계정을 탈취했습니다.
새로운 DDoS 봇넷 악성코드가 악용하는 심각한 Ruckus RCE 결함
FBI, 자폭 명령으로 러시안 스네이크(Russian Snake) 데이터 절도 악성코드를 핵무기로 공격
새로운 Atomic macOS 정보 탈취 악성코드, 50개 암호화폐 지갑 노린다
Mirai 악성코드에 악용되는 TP-Link Archer WiFi 라우터 결함
두 개의 페이로드를 별도로 가져오는 Bash 스크립트 인코딩된 피해자 등록 요청