RapperBot: киберпреступники используют музыку и провокации в атаках на IoT-устройства

Согласно данным аналитиков QiAnXin, RapperBot активно использует уязвимости в IoT-устройствах, таких как сетевые камеры, маршрутизаторы и видеорегистраторы. Основные векторы атак - это слабые пароли Telnet и эксплуатация известных уязвимостей, включая CVE-2021-46229 (D-Link), CVE-2023-4473 (Zyxel) и другие. Ботнет демонстрирует высокую активность: в марте 2025 года ежедневно атаковалось более 100 целей, а общее количество заражённых устройств превысило 50 000.

Одной из самых необычных особенностей RapperBot является его "личность". В коде зловреда разработчики оставляют сообщения, отсылки к поп-культуре и даже требования выкупа. Например, в одном из образцов был обнаружен текст: "Это RapperBot, мы находимся на стадии тестирования и разработки. Не воспринимайте это всерьёз. Брайан Кребс одобряет этот проект; он наш главный сторонник". Также злоумышленники предлагают жертвам заплатить 5000 долларов в Monero, чтобы избежать DDoS-атак.

Анализ инфраструктуры ботнета показал, что RapperBot использует DNS-TXT-записи для управления заражёнными устройствами. В последних версиях зловреда применяются сложные алгоритмы шифрования, включая кастомные методы декодирования строк и динамическую генерацию C2-доменов. Это усложняет обнаружение и блокировку вредоносной активности.

Эксперты отмечают, что RapperBot представляет серьёзную угрозу для корпоративных и домашних сетей. Его атаки направлены на различные отрасли, включая финансовый сектор, государственные учреждения и социальные платформы. Особую опасность представляет добавленная в 2024 году функция прокси, которая позволяет злоумышленникам использовать заражённые устройства для скрытия своей активности.

Кибербезопасность - это гонка вооружений, и RapperBot демонстрирует, насколько изобретательными могут быть злоумышленники. Организациям рекомендуется регулярно обновлять прошивки устройств, использовать сложные пароли и мониторить сетевую активность, чтобы минимизировать риски заражения. В противном случае они могут стать следующей жертвой этого "музыкального" ботнета.

IPv4

• 185.248.144.209
• 194.156.98.15
• 45.150.65.202
• 5.231.3.32
• 5.231.4.35
• 86.104.72.130
• 94.131.118.154

Domains

• 4v.wtf
• churchofhollywood.libre
• EICp.ByxWGIMPbwiSkniw.info
• EICp.ByxWGIMPbwiSkniw.live
• EICp.GaihWstPZUoMtfnU.info
• EICp.GaihWstPZUoMtfnU.live
• EICp.gwYhHCOrybwjWuzh.info
• EICp.gwYhHCOrybwjWuzh.live
• EICp.zkUAFIMFDwVETXJQ.info
• EICp.zkUAFIMFDwVETXJQ.live
• iguessimhere.libre
• iranistrash.libre
• KDXA.ByxWGIMPbwiSkniw.info
• KDXA.ByxWGIMPbwiSkniw.live
• KDXA.GaihWstPZUoMtfnU.info
• KDXA.GaihWstPZUoMtfnU.live
• KDXA.gwYhHCOrybwjWuzh.info
• KDXA.gwYhHCOrybwjWuzh.live
• KDXA.zkUAFIMFDwVETXJQ.info
• KDXA.zkUAFIMFDwVETXJQ.live
• kHbW.ByxWGIMPbwiSkniw.info
• kHbW.ByxWGIMPbwiSkniw.live
• kHbW.GaihWstPZUoMtfnU.info
• kHbW.GaihWstPZUoMtfnU.live
• kHbW.gwYhHCOrybwjWuzh.info
• kHbW.gwYhHCOrybwjWuzh.live
• kHbW.zkUAFIMFDwVETXJQ.info
• kHbW.zkUAFIMFDwVETXJQ.live
• o0s.cc
• pool.rentcheapcars.sbs
• YFrV.ByxWGIMPbwiSkniw.info
• YFrV.ByxWGIMPbwiSkniw.live
• YFrV.GaihWstPZUoMtfnU.info
• YFrV.GaihWstPZUoMtfnU.live
• YFrV.gwYhHCOrybwjWuzh.info
• YFrV.gwYhHCOrybwjWuzh.live
• YFrV.zkUAFIMFDwVETXJQ.info
• YFrV.zkUAFIMFDwVETXJQ.live
• zyb.ac

SHA1

• 09dc5f47374410bb05cfd72bc1fa6523a35ec6dc
• 4a0aa2b7f357164dbd49c0c6ab71a3c73e148aaa
• 8a9a098dabcc09c8a770777f12c71017bb26940b
• a742f069f604aa302dbfe6ccf0bc481726e76fb6
• bc21342317fca22076406873013959ed111cf8dc
• cc687e707919c4176ab03bdc76ab01bbaa7c0e22
• d4bca8193b808dcdbdb79367ac688f6f424da36f

XMR wallet address

• 48SFiWgbAaFf75KsRSEEr4iDcxrevFzVmhgfb6Qudss52JK8cCR8bwmUxNBPN2VmqDTucJL3eabiZc5XRYVGkbh6BH58Ytk