FortiGuard Labs ha estado rastreando una familia de malware de IoT en rápida evolución conocida como "RapperBot". Descubierto por primera vez en junio de 2022, el malware tiene una funcionalidad que le permite mantener la persistencia para proporcionar a los actores de amenazas un acceso continuo a los dispositivos infectados a través de SSH incluso después de reiniciar el dispositivo o eliminar el malware.
Cabe destacar que esta amenaza esta siendo dirigida a sistemas Linux. Al igual que muchas otras familias de malware de IoT, RapperBot se basa en el código fuente de Mirai, aunque utiliza la fuerza bruta para obtener acceso a los servidores SSH en lugar de Telnet, como se implementa en Mirai.
RapperBot reutiliza en gran medida partes del código fuente de Mirai, pero sus características y detalles de implementación, por ejemplo, el protocolo de comando Command & Control (C2), difiere significativamente del Mirai original y las variantes típicas basadas en Mirai monitoreadas por FortiGuard Labs.
A diferencia de la mayoría de las variantes de Mirai, que utilizan de forma nativa servidores Telnet de fuerza bruta que usan contraseñas predeterminadas o débiles, RapperBot escanea e intenta exclusivamente servidores SSH de fuerza bruta configurados para aceptar la autenticación de contraseña. La mayor parte del código de malware contiene una implementación de un cliente SSH 2.0 que puede conectarse y aplicar fuerza bruta a cualquier servidor SSH que admita el intercambio de claves Diffie-Hellmann con claves de 768 o 2048 bits y cifrado de datos mediante AES128-CTR.
Cabe destacar que este cuenta con una característica distintiva de la implementación de fuerza bruta y es en el uso de "SSH-2.0-HELLOWORLD" para identificarse ante el servidor SSH de destino durante la fase de intercambio de protocolo SSH.Los ataques implican objetivos potenciales de fuerza bruta utilizando una lista de credenciales recibidas de un servidor remoto. Al ingresar con éxito a un servidor SSH vulnerable, las credenciales válidas se filtran nuevamente al comando y control.
El acceso se logra agregando la clave pública SSH de los operadores a un archivo especial llamado " ~/.ssh/authorized_keys ", lo que permite al adversario conectarse y autenticarse en el servidor utilizando la clave privada correspondiente sin tener que proporcionar una contraseña.
Los Investigadores explicaron que esto presenta una amenaza para los servidores SSH comprometidos, ya que los actores de amenazas pueden acceder a ellos incluso después de que se hayan cambiado las credenciales de SSH o se haya desactivado la autenticación de contraseña de SSH por lo que puede ser muy grave.
Los investigadores de FortiGuard han estado monitoreando la amenaza durante un mes y notaron algunos cambios interesantes en la funcionalidad de RapperBot, como los experimentos del autor del malware con el ataque DDoS y las capacidades de autopropagación, pero todavía están desconcertados sobre la motivación principal de los actores de amenazas detrás. Parece que los atacantes están acumulando una colección en rápido crecimiento de servidores SSH comprometidos, la mayoría de ellos ubicados en los Estados Unidos, Taiwán y Corea del Sur por lo que nos da a entender que esto es solo el inicio de esta amenaza y debemos ser precavidos.
