RapperBot マルウェアは Mirai から借用

RapperBot は、FortiGuard Labs の研究者によって発見されたマルウェアの名前です。

新しいボット マルウェアは、悪名高い Mirai ボットネットのコードに基づいており、「急速に進化している」と表現されています。 RapperBot が Mirai と一線を画す主な違いは、Mirai が開いている Telnet ポートをスキャンしている間に、ブルート フォース方式を使用して資格情報をクラックし、SSH サーバーにアクセスできることです。

もう 1 つの大きな違いは、RapperBot に新たに追加された機能です。これにより、侵害されたデバイスで持続性を実現できるため、デバイスが再起動された後でも、マルウェアのコアが削除された後でもアクセスできます。

RapperBot は、Mirai と同じように、インターネットに公開されている膨大な数のデバイスをスキャンし、パスワードを受け入れる SSH サーバーを探します。マルウェアはコマンド アンド コントロール サーバーからブルート フォース リストを取得するため、ボットネット オペレータはコードの更新をマルウェア ペイロードにプッシュすることなく、そのリストを徐々に拡張できます。

~/.ssh/authorized_keys に SSH キーを追加することで持続性が実現されます。これにより、デバイスのハード リブート後、またはマルウェアが削除された後でも、これらのデバイスへのアクセスが許可されます。

研究者は、RapperBot が感染したデバイスの足がかりを維持するという奇妙な強迫観念を指摘しています。実際、RapperBot は、6 月の更新でマルウェアの自己増殖機能が削除されたため、自己増殖よりもこの種の頑固な持続性を選択しています。