Bulletins

Une nouvelle campagne de RapperBot vise à attaquer les serveurs de jeux par DDoS

bs1.jpg

RapperBot, une nouvelle variété de malware utilisée pour créer un botnet capable d'effectuer des attaques par déni de service distribué (DDoS) contre des serveurs de jeux.

Selon les experts de Fortinet FortiGuard Labs Joie Salvio et Roy Tay, cette tentative est moins similaire à RapperBot qu'à une campagne antérieure qui a fait surface en février avant de disparaître sans laisser de trace en mi-avril.

Ce malware, que la société de sécurité réseau a identifié pour la première fois en août 2022, est connu pour ne forcer que les serveurs SSH configurés pour accepter l'authentification par mot de passe.

La version mise à jour de RapperBot se distingue par sa capacité à effectuer un brute-force Telnet, en plus de prendre en charge les attaques DoS utilisant le protocole de tunneling Generic Routing Encapsulation (GRE) ainsi que les inondations UDP ciblant les serveurs de jeux exécutant Grand Theft Auto : San Andreas.

"Le code de brute-force Telnet est conçu principalement pour l'auto-propagation et ressemble à l'ancien botnet Mirai Satori", ont déclaré les chercheurs.

Après une intrusion réussie, la charge utile RapperBot est installée sur l'appareil compromis et les informations d'identification utilisées sont renvoyées au serveur C2.

Selon Fortinet, le virus est conçu pour cibler uniquement les appareils qui utilisent les architectures ARM, MIPS, PowerPC, SH4 et SPARC. Si un appareil utilise un composant Intel, la technique d'auto-propagation du malware sera arrêtée.

Le module de diffusion Telnet est apparu pour la première fois en août 2021, mais il a été supprimé dans plusieurs campagnes ultérieures et réintroduit le mois dernier. En outre, la campagne d'octobre 2022 présente des chevauchements avec des opérations antérieures utilisant le malware dès mai 2021.

Les chercheurs sont parvenus à la conclusion qu'il est très probable que cette nouvelle campagne et la campagne RapperBot signalée précédemment soient gérées par le même acteur de la menace ou par d'autres acteurs de la menace qui ont accès à un code source de base partagé de manière privée.