警告：新的RapperBot活动旨在对游戏服务器发起DDoS攻击

网络安全研究人员发现了名为RapperBot的恶意软件的新样本，这些恶意软件正被用来构建一个僵尸网络，能够对游戏服务器发起分布式拒绝服务（DDoS）攻击。

Fortinet FortiGuard实验室的研究人员Joie Salvio和Roy Tay在周二的一份报告中表示：“事实上，这场运动不像是RapperBot，而是一场在2月份出现，然后在4月中旬神秘消失的老运动”。

RapperBot于2022年8月首次被网络安全公司记录在案，已知其专门对配置为接受密码认证的SSH服务器进行暴力攻击。

这种新生的恶意软件受到Mirai僵尸网络的极大启发，其源代码于2016年10月泄露，导致了几种变体的兴起。

RapperBot的更新版本值得注意的是，除了支持使用通用路由封装（GRE）隧道协议的DoS攻击以及针对运行《侠盗猎车手：圣安德烈亚斯》的游戏服务器的UDP洪水攻击外，它还能够执行Telnet暴力攻击。

研究人员说：“Telnet暴力强制代码主要是为自我传播而设计的，类似于旧的Mirai Satori僵尸网络”。

该硬编码明文凭据列表是与物联网设备相关的默认凭据，被嵌入到二进制文件中，而不是从命令和控制(C2)服务器检索它，这是在2022年7月之后检测到的工件中观察到的行为。

成功闯入后，将使用的凭据报告回C2服务器，并在被入侵的设备上安装RapperBot有效负载。

Fortinet表示，该恶意软件只针对运行在ARM、MIPS、PowerPC、SH4和SPARC架构上的设备，如果这些设备运行在Intel芯片组上，则停止其自传播机制。

此外，早在2021 5月，人们就发现2022年10月的活动与涉及恶意软件的其他操作存在重叠，Telnet传播模块于2021 8月首次出现，但在随后的示例中被删除，并于上月重新引入。

研究人员总结道：“基于这场新战役与之前报道的RapperBot战役之间不可否认的相似性，它们很可能是由一个单独的威胁行为者或由不同的威胁行为者操作的，他们可以访问私人共享的基源代码”。