去年跟蹤該惡意軟件的 Fortinet 研究人員注意到其制造者在不斷完善它,首先是增加新的代碼确保即使在 PC 重啓後也能持續運行,然後是通過遠程二進制下載器插入代碼進行自我傳播。後來,病毒編寫者删除了它的自我傳播功能,取而代之的是使他們能夠持續遠程暴力破解 SSH 服務器。
卡巴斯基研究人員在 2022 年第四季度檢測到一個新的 RapperBot 變體互聯網上傳播,其中的 SSH 暴力破解功能已被删除,取而代之的是針對 telnet 服務器進行破解的功能。
根據卡巴斯基對該惡意軟件的檢查,它也有一個相對 " 智能 " 的 telnet 暴力破解功能。該病毒不是用大量的憑證進行暴力攻擊,而是在與設備進行遠程連接時檢查其收到的提示,并在此基礎上爲暴力攻擊選擇适當的憑證字典。卡巴斯基說,與其他許多惡意軟件的解決方案相比,這确實大大加快了暴力攻擊的進程。
卡巴斯基的高級安全研究員 Jornt van der Wiel 解釋說,當你 telnet 到一個設備時,你通常會得到一個提示。正如 RapperBot 所說,該提示可以暴露某些信息,它可以用來确定攻擊哪個設備和利用哪些憑證。
他聲稱,RapperBot 會根據被攻擊的物聯網設備,利用不同的憑證。因此,對于設備 A,它使用用戶 / 密碼集 A;而對于設備 B,它使用用戶 / 密碼集 B。
然後,該惡意軟件會使用 "wget"、"curl " 和 "ftpget " 等命令,将自己下載到目标系統上。卡巴斯基表示,如果這些技術都不成功,惡意軟件就會下載并安裝在設備上。
RapperBot 的暴力破解方法是非常不尋常的,Jornt van der Wiel 說他想不出還有什麽其他惡意軟件曾經使用過這種方法。盡管如此,鑒于該領域仍有大量的惡意軟件副本,不可能說這是目前唯一采用這種策略進行的感染的惡意軟件。
新的和不同尋常的攻擊策略
卡巴斯基表示,RapperBot 是惡意軟件中的一個很好的例子,它使用了不尋常的、通常是以前所未知的策略來進行傳播。另一個例子是 "Rhadamanthys",這是一個在俄語網絡犯罪論壇上作爲惡意軟件即服務的竊密軟件。該竊密軟件是威脅者利用惡意廣告傳播的惡意軟件家族中的一個。
在一些網絡平台上,攻擊者會植入帶有惡意軟件的廣告或帶有釣魚網站鏈接的廣告。通常情況下,這些廣告是爲那些真正的軟件程序提供的,頁面包含的關鍵詞可以确保它們可以在搜索引擎的結果中或在用戶訪問特定網站時出現在首頁。最近幾個月,威脅者利用惡意廣告來攻擊 LastPass、Bitwarden 和 1Password 等流行密碼管理器的用戶。
威脅者在使用惡意廣告進行欺詐方面越來越成功,也直接推動了該策略的使用。例如,Rhadamanthys 的作者在利用惡意廣告之前,通常是利用網絡釣魚和垃圾郵件作爲第一個感染載體。
安全專家解釋說,Rhadamanthys 的做法與其他惡意廣告活動沒有什麽不同。然而,從這個工具可以看到,惡意廣告正在變得成爲一種趨勢。
卡巴斯基發現的另一個趨勢是,攻擊者越來越多地開始使用開源惡意軟件進行攻擊。比如 CueMiner,這是一個挖礦惡意軟件。據卡巴斯基研究人員說,這個軟件是通過 BitTorrent 或 OneDrive 共享網絡下載的破解軟件來傳播的。
由于它的開源性質,每個人都可以下載和編譯它,由于這些用戶通常不是非常高級的網絡犯罪分子,他們一般會使用相對簡單的感染機制,如 BitTorrent 和 OneDrive。
