RapperBot ボットネットは Mirai 由来:SSH サーバにブルートフォースを仕掛けて休眠

New Linux malware brute-forces SSH servers to breach networks

2022/08/04 BleepingComputer — 2022年6月の中旬から、RapperBot と呼ばれる新しいボットネットが攻撃が検知されているが、その後の調査により、Linux SSH サーバーにブルートフォースで侵入し、デバイスに足場を築くことに重点を置いていることが判明した。研究者たちによると、RapperBot は Mirai トロイの木馬をベースにしているが、可能な限り多くのデバイスを無秩序に感染させるという、マルウェア本来の動作から逸脱しているようだ。

RapperBot の制御は厳密であり、また、DDoS 機能は限定的なものであり、その動作は、ネットワーク内を横移動する踏み台として使用される、イニシャル・サーバ・アクセスに向けられたように見えるという。この新しいボットネットは、発見から1ヶ月半の間に、世界中の 3,500以上のユニークな IP を使用し、Linux SSH サーバーをスキャンし、ブルートフォース攻撃を試みている。

Mirai をベースとしながらも異なる

この新しいボットネットは、Fortinet の脅威ハンターにより発見された。同社は、この IoT マルウェアが SSH 関連の珍しい文字列を備えていることに気付き、さらに調査することにした。

RapperBot は Mirai のフォークであることが判明したが、独自の Command and Control (C2) プロトコルや機能と持ち、ボットネットとしては非定型とも言える、侵害後のアクティビティを備えている。

Fortinet のレポートには、「RapperBot は、デフォルト・パスワードや脆弱なパスワードを前提にして。Telnet サーバにブルートフォースを仕掛ける大半の Mirai 亜種とは異なり、パスワード認証を受け入れるように設定された SSH サーバのみをスキャンし、ブルートフォースを試みている」と説明している。

さらに同社は、「このマルウェア・コードの大部分において、SSH 2.0 クライアントの実装が含まれており、768 Bit/2048 Bit 鍵による Diffie-Hellmann 鍵交換と、AES128-CTR によるデータ暗号化をサポートする任意の SSH サーバに接続し、ブルートフォースを仕掛けている」と指摘する。

SSH ブルートフォースとは、ホスト固有の TCP リクエストを経由して C2 からダウンロードされた認証情報のリストに依存するものであり、マルウェアによる侵害が成功したときに C2 に報告するものだ。

Fortinet の研究者たちは、このボットを追跡し、新しい亜種のサンプリングを続けた。その結果として、RapperBot がリモート・バイナリ・ダウンローダを経由する自己増殖メカニズムを使用していることに気付いたが、この機能は7月中旬に、脅威アクターにより削除された。

そのときに出回っていた亜種は、被害者の SSH キーを脅威アクターのものに置き換えるシェルコマンドを備えており、本質的に SSH パスワードの変更後も維持される、永続性を確立していたという。

さらに、RapperBot は、ホストの「~/.ssh/authorized_keys」に、脅威アクターの SSH 鍵を追加するシステムを追加し、再起動間やマルウェアが発見されて削除された場合であっても、サーバへのアクセスを維持できるようにしていた。

研究者たちが分析した最新のサンプルでは、このボットは、侵害したエンドポイントにルートユーザー「suhelper」を追加し、管理者が不正アカウントを発見して削除した場合に備えて、1時間ごとにユーザーを再追加する Cron ジョブを作成しる。

RapperBot's attack overview
RapperBot’s attack overview (Fortinet)

また、新たなサンプルにおいては、マルウェアの作者が、文字列に XOR エンコーディングのような、追加の難読化レイヤーを追加していることも注目に値する。

String obfuscation added on later variants
String obfuscation added on later variants (Fortinet)

RapperBot の目標

ボットネットの多くは、ホストの計算リソースを乗っ取って DDoS 攻撃を行うか、コインマイニングを行うかのいずれかだが、その中には両方の機能を持つものもある。しかし、RapperBot の目的は明らかではなく、この作者は DDoS 機能を制限することもあり、削除して再導入していることもあるようだ。

また、自己増殖が削除され、持続性と検知回避のメカニズムが追加されていることから、このボットネットの運営者は、ランサムウェアのアクターに提供するための、イニシャル・アクセスに関心を持っている可能性があるとされる。

Fortinet のアナリストたちによると、今回のモニタリング期間中において、感染後に追加のペイロードが配信されたことはなく、マルウェアは感染させた Linux ホスト上に巣を作り、休眠状態にあるだけだという。

サイバー攻撃の分業化が、どんどんと進み、この RapperBot ボットネットのような、ちょっと変わった動きを示すものまで出てきたと言えるのでしょう。8月2日に「Gootkit は AaaS (Access-as-a-Service):ファイルレス技術でマルウェアをドロップ」という記事をポストしましたが、さまざまな AaaS が、今後も登場してくるのかもしれませんね。

%d bloggers like this: