Botnet berbasis Mirai ‘RapperBot’ telah muncul kembali melalui kampanye baru yang menginfeksi perangkat IoT untuk serangan DDoS (Distributed Denial of Service) terhadap server game.
Malware ini ditemukan oleh peneliti Fortinet Agustus kemarin ketika menggunakan SSH brute-forcing untuk menyebar di server Linux.
Dengan menelusuri aktivitasnya, para peneliti menemukan bahwa RapperBot telah beroperasi sejak Mei 2021, tetapi tujuan pastinya sulit diuraikan.
Varian terbaru menggunakan mekanisme self-propagation Telnet sebagai gantinya, yang lebih dekat dengan pendekatan malware Mirai asli.
Selain itu, motivasi kampanye saat ini lebih terlihat, karena perintah DoS dalam varian terbaru disesuaikan untuk serangan terhadap server yang menghosting game online.
Mengangkat tutup RapperBot
Analis Fortinet dapat mencicipi varian baru menggunakan artefak komunikasi C2 yang dikumpulkan dalam kampanye sebelumnya, menunjukkan bahwa aspek operasi botnet ini tidak berubah.
Para analis melihat varian baru menampilkan beberapa perbedaan, termasuk dukungan untuk Telnet brute-forcing, menggunakan perintah berikut:
- Daftar (digunakan oleh klien)
- Keep-Alive/Jangan lakukan apa-apa
- Hentikan semua serangan DoS dan hentikan klien
- Lakukan serangan DoS
- Hentikan semua serangan DoS
- Mulai ulang pemaksaan kasar Telnet
- Hentikan pemaksaan kasar Telnet
Malware mencoba untuk memaksa perangkat menggunakan kredensial lemah umum dari daftar hardcoded, padahal sebelumnya, ia mengambil daftar dari C2.
“Untuk mengoptimalkan upaya pemaksaan secara kasar, malware membandingkan prompt server saat terhubung ke daftar string yang dikodekan untuk mengidentifikasi perangkat yang mungkin dan kemudian hanya mencoba kredensial yang diketahui untuk perangkat itu,” jelas Fortinet.
“Tidak seperti malware IoT yang kurang canggih, ini memungkinkan malware untuk menghindari mencoba menguji daftar lengkap kredensial.”
Setelah berhasil menemukan kredensial, ia melaporkannya ke C2 melalui port 5123 dan kemudian mencoba mengambil dan menginstal versi biner muatan utama yang benar untuk arsitektur perangkat yang terdeteksi.
Arsitektur yang didukung saat ini adalah ARM, MIPS, PowerPC, SH4, dan SPARC.
Kemampuan DoS dalam varian lama RapperBot sangat terbatas dan umum sehingga para peneliti berhipotesis bahwa operatornya mungkin lebih tertarik pada bisnis akses awal.
Namun, dalam varian terbaru, sifat sebenarnya dari malware tersebut telah menjadi jelas dengan penambahan serangkaian perintah serangan DoS seperti:
- Banjir UDP umum
- TCP SYN banjir
- TCP ACK banjir
- Banjir TCP STOMP
- UDP SA:MP server game penargetan banjir yang menjalankan GTA San Andreas: Multi Player (SA:MP)
- Banjir GRE Ethernet
- Banjir GRE IP
- Banjir TCP umum
Berdasarkan metode HTTP DoS, malware tersebut tampaknya berspesialisasi dalam meluncurkan serangan terhadap server game.
“Kampanye ini menambahkan serangan DoS terhadap protokol GRE dan protokol UDP yang digunakan oleh mod Grand Theft Auto: San Andreas Multi Player (SA:MP),” tulis laporan Fortinet.
Kemungkinan operator yang sama
Fortinet yakin semua kampanye RapperBot yang terdeteksi diatur oleh operator yang sama, karena varian yang lebih baru menunjukkan akses ke kode sumber malware.
Selain itu, protokol komunikasi C2 tetap tidak berubah, daftar kredensial yang digunakan untuk upaya kekerasan tetap sama sejak Agustus 2021, dan tidak ada tanda-tanda tumpang tindih kampanye saat ini.
Untuk melindungi perangkat IoT Anda dari infeksi botnet, selalu perbarui firmware, ubah kredensial default dengan kata sandi yang kuat dan unik, dan tempatkan di belakang firewall jika memungkinkan.
