Новый ботнет-рэпер для Linux брутфорсит SSH-серверы
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Новый ботнет-рэпер для Linux брутфорсит SSH-серверы

Екатерина Быстрова 05 Августа 2022 - 10:28
...
Новый ботнет-рэпер для Linux брутфорсит SSH-серверы

Обнаруженный на днях ботнет “RapperBot” с середины июня 2022 года проводит брутфорс-атаки на SSH-серверы Linux. За основу авторы вредоноса взяли троян Mirai, изменив ряд его особенностей (например, бесконтрольное распространение на максимально доступное число устройств).

RapperBot более жестко контролируется операторами, имеет ограниченные возможности по запуску DDoS, а его основная задача — получить первоначальный доступ к серверу.

Предположительно, этот вредонос может использоваться на первых этапах атаки, чтобы потом развить ее латеральным передвижением по скомпрометированной сети. За последние полтора месяца ботнет использовал более 3500 уникальных IP-адресов для сканирования и брутфорса SSH-серверов Linux.

На киберугрозу обратили внимание специалисты компании Fortinet, отметившие у зловреда нетипичные строки. Нет никаких сомнений, что RapperBot произошел от Mirai, однако его отличают уникальные функции, собственный протокол для связи с командным сервером (C2) и необычная для ботнета активность после проникновения в систему.

«В отличие от большинства клонов Mirai, которые брутфорсят серверы Telnet с помощью дефолтных или слабых паролей, RapperBot специально сканирует и атакует SSH-серверы, на которых допускается аутентификация по паролю», — объясняют в Fortinet.

«Часть кода вредоносной программы включает имплементацию клиента SSH 2.0, который подключается и брутфорсит любой SSH-сервер, поддерживающий обмен ключами по протоколу Диффи — Хеллмана (Diffie–Hellman key exchange) и шифрование данных с помощью AES128-CTR».

Брутфорс осуществляется с помощью учетных данных, загруженных с командного сервера. Специалисты Fortinet также выяснили, что RapperBot использовал механизм самораспространения через удаленный загрузчик бинарника, однако в середине июля авторы отказались от этой функциональности.

Более того, RapperBot может прикрепить SSH-ключ злоумышленников к хостовому “~/.ssh/authorized_keys”. Такой подход позволяет сохранять доступ к серверу между перезагрузками и даже в том случае, если вредонос обнаружен и удален.

В более поздних семплах авторы вредоноса добавили строкам дополнительные слои обфускации, например XOR-шифрование.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В части российских компаний обнаружили переизбыток ИБ-решений
Яков Шпунт 18 Ноября 2025 - 20:38
Соответствие законодательству РФ Малый и средний бизнесКорпорации Соответствие требованиям регуляторов
В части российских компаний обнаружили переизбыток ИБ-решений

Согласно опросу, проведённому Контур.Эгида и Staffcop, в 29% российских компаний до 30% бюджета на информационную безопасность расходуется впустую. В исследовании приняли участие около 1200 специалистов, среди которых руководители ИТ- и ИБ-подразделений, топ-менеджеры и владельцы бизнеса.

Авторы опроса отмечают, что значительная часть организаций сталкивается с переизбытком ИБ-решений.

Помимо неэффективного расходования средств, такое перенасыщение приводит к целому ряду проблем: замедлению реакции на инциденты, повышенной нагрузке на инфраструктуру и конфликтам между системами.

Более половины респондентов (54%) признали, что реорганизация ИБ-ландшафта чаще всего происходит только после серьёзного инцидента, например кибератаки. Ещё 39% назвали причиной для пересмотра подходов штрафы от регуляторов.

Среди проблем, возникающих из-за избыточного числа ИБ-систем, участники опроса указали:

  • снижение скорости реакции систем — 40%;
  • потерю важной информации среди многочисленных уведомлений — 35%;
  • вынужденное переключение между разными интерфейсами — 30%;
  • повышение нагрузки на ИТ-инфраструктуру — 29%;
  • дублирование информации об инцидентах — 25%;
  • необходимость ручной обработки данных — 21%;
  • конфликты между системами — 18%.

Почти треть участников признала, что 21–30% их ИБ-бюджета расходуется неэффективно. Треть компаний планирует сократить количество применяемых систем и оптимизировать затраты. При этом основными препятствиями для сокращения числа решений респонденты назвали их влияние на большое количество бизнес-процессов (35%), длительные контракты с поставщиками (24%) и нехватку специалистов (19%).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Positive Technologies выпустила руководство по защите промышленных систем
Новость
Positive Technologies выпустила руководство по защите промыш...
0-day в Cisco IOS SNMP: под угрозой тысячи устройств в рунете
Новость
0-day в Cisco IOS SNMP: под угрозой тысячи устройств в рунет...
Злоумышленники скупают освобождённые домены .рф под казино
Новость
Злоумышленники скупают освобождённые домены .рф под казино

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.