有關RapperBot的攻擊情況：一款基於Mirai的蠕蟲，通過“智能暴力破解”來攻擊物聯網設備

網絡罪犯一直在不斷發展他們的技能和工具，尋找入侵個人和公司的新方法。卡巴斯基在其最近的 Securelist 博客文章中探討了攻擊者使用的不常見的感染方法。

除了其他發現之外，研究人員還發現這種攻擊方法使用 RapperBot，這是一種基於 Mirai 的蠕蟲，可以感染物聯網設備，最終目標是對非 HTTP 目標發起 DDoS 攻擊。博文中提到的其他感染方法包括信息竊取器 Rhadamanthys 和 CUEMiner，它們基於開源惡意軟件，可能通過 BT 下載和 One Drive 進行分發。

Rapperbot

Rapperbot 於 2022 年 6 月首次被發現，當時它被用於攻擊安全 Shell 協議（SSH），與使用純文本形式傳輸數據的 Telnet 服務相比，這種協議被認為是一種安全的文件通信方式，因為其使用了加密通信。

然而，最新版的 RapperBot 移除了 SSH 功能，現在隻專注於 Telnet，並取得了相當大的成功。2022 年第四季度，RapperBot 試圖感染的用戶數量達到 112,000，這些用戶來自 2,000 多個獨特的 IP 地址。

RapperBot 與其他蠕蟲的不同之處在於其“智能”的暴力破解方式：它檢查提示並根據提示選擇適當的憑證。這種方法顯著加快了暴力破解過程，因為它不必檢索大量的憑證列表。2022 年 12 月，被 RapperBot 感染的設備數量最多的前三個國家/地區是中國台灣、韓國和美國。

CUEMiner

卡巴斯基博客文章中描述的另一個新惡意軟件家族是 CUEMiner，它基於 2021 年首次出現在 Github 的一款開源惡意軟件。最新版本是在 2022 年 10 月發現的，它包括一個挖礦軟件本身和一個所謂的“監視者”。這個程序在受害者的電腦上啟動一個負載較高的進程（如電子遊戲）時監控係統。

在調查 CUEMiner 期間，卡巴斯基注意到兩種傳播這種惡意軟件的方法。第一種是通過 BT 下載到的包含木馬的破解軟件。另一種方法是通過從 OneDrive 共享網絡下載的包含木馬的破解軟件。

由you於yu在zai發fa布bu時shi沒mei有you可ke用yong的de直zhi接jie鏈lian接jie，因yin此ci尚shang不bu清qing楚chu受shou害hai者zhe是shi如ru何he被bei引yin誘you下xia載zai這zhe些xie破po解jie的de軟ruan件jian包bao的de。然ran而er，現xian在zai的de許xu多duo破po解jie網wang站zhan並bing不bu提ti供gong立li即ji下xia載zai。相xiang反fan，他ta們men將jiang用yong戶hu指zhi向xiang Discord 服務器頻道進行進一步討論。這表明有某種形式的人際互動和社會工程。

這種“開源”惡意軟件在業餘或不熟練的網絡罪犯中非常流行，因為它允許他們進行大規模的攻擊活動——Cueminer 的受害者目前遍布世界各地，其中一些在企業網絡中。在卡巴斯基安全網絡（KSN）的遙測係統中，受害者人數最多的國家是巴西、印度和土耳其。

Rhadamanthys

最後，卡巴斯基的博文提供了有關 Rhadamanthys 的最新信息。Rhadamanthys 是一種信息竊取器，使用穀歌廣告作為分發和交付惡意軟件的手段。

2023 年 3 月，Securelist 已經對其進行了專題報道，但自那以後，人們發現 Rhadamanthys 與 Hidden Bee Miner 有很強的聯係，後者直接用於加密貨幣挖礦。這兩個樣本都使用圖像將有效負載隱藏在內部，並具有類似的 shellcode 代碼用於引導。此外，兩者都使用“內存中虛擬文件係統”，並利用 Lua 語言來加載插件和模塊。

Jornt van der Wiel

卡巴斯基全球研究與分析團隊(GEeAT)高級安全研究員

“開源惡意軟件、代dai碼ma重zhong新xin利li用yong和he貼tie牌pai被bei網wang絡luo罪zui犯fan廣guang泛fan使shi用yong。這zhe意yi味wei著zhe即ji使shi是shi技ji能neng較jiao低di的de攻gong擊ji者zhe現xian在zai也ye可ke以yi執zhi行xing大da規gui模mo的de攻gong擊ji活huo動dong並bing對dui全quan球qiu的de受shou害hai者zhe實shi施shi攻gong擊ji。此ci外wai，惡e意yi廣guang告gao正zheng在zai成cheng為wei一yi個ge熱re門men趨qu勢shi，在zai惡e意yi軟ruan件jian組zu織zhi中zhong的de需xu求qiu已yi經jing很hen高gao。為wei了le避bi免mian此ci類lei攻gong擊ji，保bao護hu你ni的de公gong司si不bu受shou侵qin害hai，重zhong要yao的de是shi要yao了le解jie網wang絡luo安an全quan方fang麵mian的de情qing況kuang，並bing使shi用yong最zui新xin的de保bao護hu工gong具ju。”

要了解更多有關網絡罪犯使用的最新感染手段和技術：

請點擊此處

為了保護自己以及企業免受勒索軟件的攻擊，請考慮遵循卡巴斯基提出的以下規則：

除非有必要，否則不要將遠程桌麵服務（如 RDP）暴露在公共網絡上，而且一定要為其使用高強度密碼。

及時為商業 VPN 解決方案安裝可用的補丁，為遠程辦公人員提供訪問，並作為網絡中的網關。

將防禦策略重點放在偵查橫向移動和數據向互聯網泄露上。特別注意外發流量，檢測網絡罪犯的連接。

定期備份數據。確保在遇到緊急情況時，能夠快速訪問備份數據。

使用諸如卡巴斯基端點檢測和響應專家以及卡巴斯基管理檢測和響應服務等解決方案，在攻擊者實現最終目標之前，在攻擊的早期階段識別和阻止攻擊。

使用最新的威脅情報信息，隨時了解威脅行為者使用的實際 TTP（技術、工具和程序）。卡巴斯基威脅情報門戶網站是卡巴斯基威脅情報的一站式訪問點，提供卡巴斯基超過25年來收集的網絡攻擊數據以及見解。

為了幫助企業在這個動蕩的時代實現有效的防禦，卡巴斯基宣布免費提供獨立的、不斷更新的、來自全球的關於正在進行的網絡攻擊和威脅的信息。

請點擊這裏獲取免費訪問

文章分類