FortiGuard Labs обнаружила эту кампанию, когда искала образцы, использующие уникальный идентификатор бота, используемый RapperBot для связи со своим сервером Command-and-Control (C2), как сообщалось в предыдущей статье.
RapperBot Botnet
Но когда проанализировали эти новые образцы, FortiGuard Labs заметили существенную разницу между ними и предыдущей кампанией. На самом деле, оказалось, что эта кампания меньше похожа на RapperBot, чем более старая кампания, которая появилась в феврале, а затем таинственно исчезла в середине апреля.
Сетевой протокол C2, использовавшийся в предыдущих кампаниях, остался практически неизменным, а для поддержки перебора Telnet были добавлены дополнительные команды. Список команд и идентификаторы приведены ниже:
- 0x00: Регистрация (используется клиентом)
- 0x01: Keep-Alive/Ничего не делать
- 0x02: остановить все DoS-атаки и завершить работу клиента
- 0x03: Выполнить DoS-атаку
- 0x04: Остановить все DoS-атаки
- 0x06: Перезапуск перебора Telnet
- 0x07: Остановить перебор Telnet.
Кампания RapperBot, о которой сообщалось ранее, ограничивалась несколькими общими методами DoS против служб TCP и UDP. Эта кампания добавляет DoS-атаки против протокола GRE (вероятно, повторно используя исходный код Mirai) и протокола UDP, используемого модом Grand Theft Auto: San Andreas Multi Player (SA:MP).
Вот команды DoS-атак, поддерживаемые этим ботнетом:
- 0x00: общий UDP-флуд
- 0x01: TCP SYN flood
- 0x02: TCP ACK flood
- 0x03: TCP STOMP flood
- 0x04: UDP SA:MP flood, направленный на игровые серверы, на которых запущена GTA San Andreas: Multi Player (SA:MP)
- 0x05: GRE Ethernet flood
- 0x06: GRE IP flood
- 0x07: Generic TCP flood
Эти специфические команды в сочетании с отсутствием DDoS-атак, связанных с HTTP, позволяют предположить, что эта кампания в первую очередь направлена на DDoS игровых серверов.
Тот факт, что образцы из обеих кампаний используют один и тот же протокол C2, а также отсутствие этой кампании во время кампании RapperBot, активной с июня по август 2022 года, и ее недавнее появление, кажется более чем совпадением.
Учитывая ряд сходств между двумя кампаниями, описанных ниже, мы считаем, что либо за обеими кампаниями стоит один и тот же угрожающий агент, либо каждая кампания могла быть создана из одного и того же частного исходного кода.
- Команды C2 и соответствующие идентификаторы идентичны в обеих кампаниях (за исключением команд, связанных с Telnet, поскольку они не относятся к RapperBot).
Обе кампании демонстрируют определенную степень усилий по оптимизации реализации брутфорса. Код для реализации брутфорса значительно более структурирован, чем типичные вредоносные программы для IoT, которые копируют и вставляют код с минимальными изменениями. - RapperBot также поддерживал атаку TCP STOMP, популярную в Mirai. Эта атака не наблюдалась в более ранних кампаниях, упомянутых выше. Однако, поскольку исходный код как Mirai, так и Satori находится в открытом доступе, это считается очень слабой связью между кампаниями.
Если обе кампании были связаны между собой, то причина перезапуска более старой кампании остается загадкой.
RapperBot Botnet IOCs
Indicators of Compromise
IPv4
- 185.216.71.149
URLs
- http://185.216.71.149/armv4l
- http://185.216.71.149/armv5l
- http://185.216.71.149/armv6l
- http://185.216.71.149/armv7l
- http://185.216.71.149/bot_arm4_el
- http://185.216.71.149/bot_arm5_el
- http://185.216.71.149/bot_arm6_el
- http://185.216.71.149/bot_arm7_el
- http://185.216.71.149/bot_mips_eb
- http://185.216.71.149/bot_mips_el
- http://185.216.71.149/bot_sh_el
- http://185.216.71.149/mips
- http://185.216.71.149/mipsel
- http://185.216.71.149/powerpc
- http://185.216.71.149/sh4
- http://185.216.71.149/sparc
SHA256
- 3d5c5d9e792e0a5f3648438b7510b284f924ab433f08d558b6e082e1d5414a03
- 4aa9175c1846557107ec197ea73d4cc8dbe6d575a8fd86ae214ff9b3a00e438b
- 7afcac5f71e9205879e0e476d3388898a62e7aa4a3e4a059884f40ea36cfd57f
- 8ec79a35700f6691f0d88d53647e9f2b75648710ecd119e55815331fc3bdd0b5
- a12ad4bc394d60bc037271e1c2df1bd2b87bdaaba85f6c1b7d046341f027cc2d
- f000bf482040b48595badee1fc56afb95449ac48b5dc35fe3a05542cbf18f658
- f98261eb7dc122449c158118cc9c660683206983a9e90ff73eb88c4705e0c48e