مشخص شده است که یک بات نت جدید به نام Andoryu از یک نقص امنیتی مهم وصلهشده در پنل مدیریت Ruckus Wireless برای نفوذ به دستگاههای آسیبپذیر سوء استفاده میکند.
این نقص که بهعنوان CVE-2023-25717 ردیابی میشود (امتیاز CVSS: 9.8)، ناشی از مدیریت نادرست درخواستهای HTTP است که منجر به اجرای کد از راه دور تأیید نشده و به خطر افتادن کامل تجهیزات نقطه دسترسی بیسیم (AP) میشود.
Andoryu اولین بار توسط شرکت امنیت سایبری چینی QiAnXin در اوایل ماه فوریه ثبت شد و جزئیات توانایی آن برای برقراری ارتباط با سرورهای فرمان و کنترل (C2) با استفاده از پروتکل SOCKS5 را شرح داد.
در حالی که این بدافزار شناخته شده است که نقصهای اجرای کد از راه دور در GitLab (CVE-2021-22205) و Lilin DVR را برای انتشار به سلاح تبدیل میکند، گفت ن CVE-2023-25717 نشان میدهد که Andoryu به طور فعال در حال گسترش زرادخانه اکسپلویت خود برای به دام انداختن دستگاههای بیشتری در بات است. .
کارا لین، محقق آزمایشگاه Fortinet FortiGuard، گفت: "این شامل ماژول های حمله DDoS برای پروتکل های مختلف است و با سرور فرمان و کنترل خود با استفاده از پراکسی های SOCKS5 ارتباط برقرار می کند."
تجزیه و تحلیل بیشتر از زنجیره حمله نشان می دهد که هنگامی که نقص Ruckus برای دسترسی به یک دستگاه استفاده می شود، یک اسکریپت از یک سرور راه دور برای تکثیر روی دستگاه آلوده رها می شود.
این بدافزار، به نوبه خود، با سرور C2 نیز ارتباط برقرار می کند و منتظر دستورالعمل های بیشتر برای راه اندازی یک حمله DDoS علیه اهداف مورد نظر با استفاده از پروتکل هایی مانند ICMP، TCP و UDP است.
هزینههای مربوط به چنین حملاتی از طریق فهرستی در کانال تلگرام فروشنده، با برنامههای ماهانه از ۹۰ تا ۱۱۵ دلار بسته به مدت زمان، تبلیغ میشود.
بات نت RapperBot Mining کریپتو را به فهرست قابلیت های خود اضافه می کند
این هشدار به دنبال کشف نسخههای جدید باتنت RapperBot DDoS است که عملکرد رمزنگاری را برای سود بردن از سیستمهای x64 اینتل با حذف یک ماینر کریپتو Monero در خود جای داده است.
کمپینهای RapperBot عمدتاً بر روی دستگاههای IoT بیرحمانه با اعتبارنامه SSH یا Telnet ضعیف یا پیشفرض متمرکز شدهاند تا ردپای باتنت را برای راهاندازی حملات DDoS گسترش دهند.
Fortinet بیان کرد که آخرین تکرار فعالیت ماینر RapperBot را در ژانویه ۲۰۲۳ شناسایی کرده است، با حملاتی که یک اسکریپت پوسته Bash را ارائه می دهد که به نوبه خود قادر به دانلود و اجرای استخراج کننده های رمزنگاری XMRig و باینری های RapperBot جداگانه است.
بهروزرسانیهای بعدی بدافزار، دو عملکرد متفاوت را در یک کلاینت ربات واحد با قابلیتهای استخراج ادغام کردند، در حالی که اقداماتی را برای پایان دادن به فرآیندهای ماینر رقیب انجام دادند.
جالب توجه است که هیچ یک از نمونههای جدید RapperBot با ماینر یکپارچه XMRig دارای قابلیتهای خود انتشار نیستند، که امکان مکانیزم توزیع جایگزین را افزایش میدهد.
فورتینت معتقد است: «این نشان میدهد که احتمال در دسترس بودن یک لودر خارجی که توسط عامل تهدید کار میشود، از اعتبار جمعآوریشده توسط دیگر نمونههای RapperBot با قابلیتهای بیرحمانه سواستفاده میکند و فقط ماشینهای x64 را با ربات/ماینر ترکیبی آلوده میکند».
گسترش RapperBot به cryptojacking نشانه دیگری است که اپراتورهای تهدید با انگیزه مالی برای "استخراج حداکثر ارزش از ماشین های آلوده شده توسط بات نت های خود" سنگ تمام نمی گذارند.
این تحولات دوگانه همچنین زمانی رخ داد که وزارت دادگستری ایالات متحده از توقیف ۱۳ دامنه اینترنتی مرتبط با خدمات DDoS-for-Hare خبر داد.
