Una nueva botnet llamada ‘RapperBot’ se está utilizando en ataques desde mediados de junio de 2022, centrándose en la fuerza bruta para abrirse paso en los servidores SSH de Linux para establecer un punto de apoyo en el dispositivo.
Los investigadores muestran que RapperBot se basa en el troyano Mirai, pero se desvía del comportamiento normal del malware original, que es la propagación descontrolada a tantos dispositivos como sea posible.
En cambio, RapperBot está más estrictamente controlado, tiene capacidades DDoS limitadas y su operación parece estar orientada hacia el acceso inicial al servidor, que probablemente se use como trampolín para el movimiento lateral dentro de una red.
En el último mes y medio desde su descubrimiento, la nueva red de bots utilizó más de 3500 direcciones IP únicas en todo el mundo para escanear e intentar forzar servidores SSH de Linux.
Basado en Mirai, pero diferente
La nueva botnet fue descubierta en la naturaleza por cazadores de amenazas en Fortinet, quienes notaron que el malware IoT presentaba algunas cadenas inusuales relacionadas con SSH y decidieron investigar más a fondo.
RapperBot demostró ser una bifurcación de Mirai, pero con su propio protocolo de comando y control (C2), características únicas y actividad atípica (para una botnet) posterior al compromiso.
“A diferencia de la mayoría de las variantes de Mirai, que utilizan de forma nativa servidores Telnet de fuerza bruta que usan contraseñas predeterminadas o débiles, RapperBot escanea e intenta exclusivamente servidores SSH de fuerza bruta configurados para aceptar la autenticación de contraseña”, explica el informe de Fortinet.
“La mayor parte del código de malware contiene una implementación de un cliente SSH 2.0 que puede conectarse y aplicar fuerza bruta a cualquier servidor SSH que admita el intercambio de claves Diffie-Hellmann con claves de 768 o 2048 bits y cifrado de datos mediante AES128-CTR”.
La fuerza bruta de SSH se basa en una lista de credenciales descargadas del C2 a través de solicitudes TCP exclusivas del host, mientras que el malware informa al C2 cuando tiene éxito.
Los investigadores de Fortinet siguieron al bot y continuaron probando nuevas variantes, notando que RapperBot usaba un mecanismo de autopropagación a través de un descargador binario remoto, que fue eliminado por los actores de amenazas a mediados de julio.
Las variantes más nuevas que circulaban en ese momento presentaban un comando de shell que reemplazaba las claves SSH de la víctima con las del actor, esencialmente estableciendo una persistencia que se mantiene incluso después de los cambios de contraseña SSH.
Además, RapperBot agregó un sistema para agregar la clave SSH del actor a las “~/.ssh/authorized_keys” del host, lo que ayuda a mantener el acceso al servidor entre reinicios o incluso si se encuentra y elimina el malware.
En las muestras más recientes analizadas por los investigadores, el bot agrega el usuario raíz “suhelper” en los puntos finales comprometidos y crea un trabajo Cron que vuelve a agregar al usuario cada hora en caso de que un administrador descubra la cuenta y la elimine.
El objetivo de RapperBot
La mayoría de las redes de bots realizan ataques DDoS o se dedican a la minería de monedas mediante el secuestro de los recursos computacionales disponibles del host, y algunos hacen ambas cosas.
Sin embargo, el objetivo de RapperBot no es evidente, ya que los autores han mantenido sus funciones DDoS limitadas e incluso las han eliminado y vuelto a introducir en algún momento.
Además, la eliminación de la autopropagación y la adición de mecanismos de persistencia y detección-evasión indican que los operadores de la botnet pueden estar interesados en las ventas de acceso inicial a los actores de ransomware.
Fortinet informa que sus analistas no vieron cargas útiles adicionales entregadas después del compromiso durante el período de monitoreo, por lo que el malware simplemente anida en los hosts Linux infectados y permanece inactivo.
