Versi baru malware botnet RapperBot digunakan untuk menargetkan server game dengan serangan DDoS. Perangkat IoT digunakan sebagai gateway untuk mencapai server.
Server Game yang Ditargetkan oleh Penyerang DDoS
Pelaku ancaman menggunakan malware RapperBot untuk melakukan pendistribusian penolakan layanan (DDoS) serangan pada server game. Platform Linux berisiko diserang oleh botnet yang sangat berbahaya ini.
Di sebuah Posting blog Fortinet, disebutkan bahwa RapperBot kemungkinan ditujukan ke server game karena perintah spesifik yang didukungnya dan kurangnya serangan DDoS terkait HTTP. IoT (Internet of Things) perangkat berisiko di sini, meskipun tampaknya RapperBot lebih mementingkan penargetan perangkat lama yang dilengkapi dengan chipset Qualcomm MDM9625.
RapperBot tampaknya menargetkan perangkat yang berjalan pada arsitektur ARM, MIPS, PowerPC, SH4, dan SPARC, meskipun tidak dirancang untuk berjalan pada chipset Intel.
Ini Bukan Debut RapperBot
RapperBot bukanlah hal baru di dunia kejahatan dunia maya, meskipun sudah bertahun-tahun juga tidak ada. RapperBot pertama kali diketahui di alam liar pada Agustus 2022 oleh Fortinet, meskipun telah dipastikan telah beroperasi sejak Mei tahun sebelumnya. Dalam hal ini, RapperBot digunakan untuk meluncurkan SSH serangan brute force untuk disebarkan di server Linux.
Fortinet menyatakan dalam posting blog tersebut di atas bahwa perbedaan paling signifikan dalam versi yang diperbarui ini dari RapperBot adalah "penggantian lengkap kode brute force SSH dengan Telnet yang lebih biasa setara".
Kode Telnet ini dirancang untuk perbanyakan sendiri, yang sangat mirip dan mungkin terinspirasi oleh botnet Mirai IoT lama yang berjalan pada prosesor ARC. Kode sumber Mirai bocor pada akhir 2016, yang menyebabkan pembuatan banyak versi modifikasi (salah satunya mungkin RapperBot).
Tapi tidak seperti Mirai, iterasi pengunduh biner tertanam RapperBot ini "disimpan sebagai string byte yang diloloskan, mungkin untuk sederhanakan parsing dan pemrosesan di dalam kode", seperti yang dinyatakan dalam posting blog Fortinet mengenai versi baru dari botnet.
Operator Botnet Tidak Diketahui
Pada saat penulisan, operator RapperBot tetap anonim. Namun, Fortinet menyatakan bahwa satu aktor jahat atau sekelompok aktor dengan akses ke kode sumber adalah skenario yang paling mungkin terjadi. Informasi lebih lanjut tentang ini mungkin akan keluar dalam waktu dekat.
Kemungkinan juga versi RapperBot yang diperbarui ini kemungkinan besar digunakan oleh orang yang sama yang mengoperasikan iterasi sebelumnya, karena mereka memerlukan akses ke kode sumber untuk menjalankannya serangan.
Aktivitas RapperBot Terus Dipantau
Fortinet mengakhiri posting blognya mengenai varian RapperBot yang diperbarui dengan meyakinkan pembaca bahwa aktivitas malware akan dipantau di masa mendatang. Jadi, kami dapat terus melihat lebih banyak contoh penggunaan RapperBot seiring berjalannya waktu.
