有关RapperBot的攻击情况:一款基于Mirai的蠕虫,通过“智能暴力破解”来攻击物联网设备
网络罪犯一直在不断发展他们的技能和工具,寻找入侵个人和公司的新方法。卡巴斯基在其最近的 Securelist 博客文章中探讨了攻击者使用的不常见的感染方法。
除了其他发现之外,研究人员还发现这种攻击方法使用 RapperBot,这是一种基于 Mirai 的蠕虫,可以感染物联网设备,最终目标是对非 HTTP 目标发起 DDoS 攻击。博文中提到的其他感染方法包括信息窃取器 Rhadamanthys 和 CUEMiner,它们基于开源恶意软件,可能通过 BT 下载和 One Drive 进行分发。
Rapperbot 于 2022 年 6 月首次被发现,当时它被用于攻击安全 Shell 协议(SSH),与使用纯文本形式传输数据的 Telnet 服务相比,这种协议被认为是一种安全的文件通信方式,因为其使用了加密通信。
然而,最新版的 RapperBot 移除了 SSH 功能,现在只专注于 Telnet,并取得了相当大的成功。2022 年第四季度,RapperBot 试图感染的用户数量达到 112,000,这些用户来自 2,000 多个独特的 IP 地址。
RapperBot 与其他蠕虫的不同之处在于其“智能”的暴力破解方式:它检查提示并根据提示选择适当的凭证。这种方法显著加快了暴力破解过程,因为它不必检索大量的凭证列表。2022 年 12 月,被 RapperBot 感染的设备数量最多的前三个国家/地区是中国台湾、韩国和美国。
卡巴斯基博客文章中描述的另一个新恶意软件家族是 CUEMiner,它基于 2021 年首次出现在 Github 的一款开源恶意软件。最新版本是在 2022 年 10 月发现的,它包括一个挖矿软件本身和一个所谓的“监视者”。这个程序在受害者的电脑上启动一个负载较高的进程(如电子游戏)时监控系统。
在调查 CUEMiner 期间,卡巴斯基注意到两种传播这种恶意软件的方法。第一种是通过 BT 下载到的包含木马的破解软件。另一种方法是通过从 OneDrive 共享网络下载的包含木马的破解软件。
由于在发布时没有可用的直接链接,因此尚不清楚受害者是如何被引诱下载这些破解的软件包的。然而,现在的许多破解网站并不提供立即下载。相反,他们将用户指向 Discord 服务器频道进行进一步讨论。这表明有某种形式的人际互动和社会工程。
这种“开源”恶意软件在业余或不熟练的网络罪犯中非常流行,因为它允许他们进行大规模的攻击活动——Cueminer 的受害者目前遍布世界各地,其中一些在企业网络中。在卡巴斯基安全网络(KSN)的遥测系统中,受害者人数最多的国家是巴西、印度和土耳其。
最后,卡巴斯基的博文提供了有关 Rhadamanthys 的最新信息。Rhadamanthys 是一种信息窃取器,使用谷歌广告作为分发和交付恶意软件的手段。
2023 年 3 月,Securelist 已经对其进行了专题报道,但自那以后,人们发现 Rhadamanthys 与 Hidden Bee Miner 有很强的联系,后者直接用于加密货币挖矿。这两个样本都使用图像将有效负载隐藏在内部,并具有类似的 shellcode 代码用于引导。此外,两者都使用“内存中虚拟文件系统”,并利用 Lua 语言来加载插件和模块。
Jornt van der Wiel
卡巴斯基全球研究与分析团队(GEeAT)高级安全研究员
“开源恶意软件、代码重新利用和贴牌被网络罪犯广泛使用。这意味着即使是技能较低的攻击者现在也可以执行大规模的攻击活动并对全球的受害者实施攻击。此外,恶意广告正在成为一个热门趋势,在恶意软件组织中的需求已经很高。为了避免此类攻击,保护你的公司不受侵害,重要的是要了解网络安全方面的情况,并使用最新的保护工具。”
要了解更多有关网络罪犯使用的最新感染手段和技术:
为了保护自己以及企业免受勒索软件的攻击,请考虑遵循卡巴斯基提出的以下规则:
除非有必要,否则不要将远程桌面服务(如 RDP)暴露在公共网络上,而且一定要为其使用高强度密码。
及时为商业 VPN 解决方案安装可用的补丁,为远程办公人员提供访问,并作为网络中的网关。
将防御策略重点放在侦查横向移动和数据向互联网泄露上。特别注意外发流量,检测网络罪犯的连接。
定期备份数据。确保在遇到紧急情况时,能够快速访问备份数据。
使用诸如卡巴斯基端点检测和响应专家以及卡巴斯基管理检测和响应服务等解决方案,在攻击者实现最终目标之前,在攻击的早期阶段识别和阻止攻击。
使用最新的威胁情报信息,随时了解威胁行为者使用的实际 TTP(技术、工具和程序)。卡巴斯基威胁情报门户网站是卡巴斯基威胁情报的一站式访问点,提供卡巴斯基超过25年来收集的网络攻击数据以及见解。
为了帮助企业在这个动荡的时代实现有效的防御,卡巴斯基宣布免费提供独立的、不断更新的、来自全球的关于正在进行的网络攻击和威胁的信息。