
加速器百度网盘
著名网络安全研究团队FortiGuard Labs最近发现了RapperBot活动的新实例,该活动自2023年1月以来一直活跃。 RapperBot是一个臭名昭著的恶意软件家族,主要针对物联网(IoT)设备,自2022年6月以来一直在流通。
FortiGuard實驗室之前在2022年8月和2022年12月的報告中揭示了該活動,強調其重點是利用弱或默認的SSH或Telnet憑證擴大其殭屍網絡,發起破壞性的分布式拒絕服務(DDoS)攻擊。 然而,在最近这波攻击中,RapperBot背后的威胁行为者更进一步,深入研究加密劫持,特别是针对英特尔x64机器。
一开始,他们在标准RapperBot二进制文件的基础上实现了一个独立的Monero加密矿机。 然而,在2023年1月底,他们将这两种功能整合到一个机器人中,集成了矿机功能。 本文将深入探讨在这一新活动中观察到的修改,并对具有加密劫持功能的升级版RapperBot变种进行全面的技术分析。
FortiGuard Labs最近披露了RapperBot的更新变种,这种恶意软件现在利用专为英特尔x64架构设计的XMRig Monero挖矿机。 该网络安全公司透露,该活动主要针对物联网(IoT)设备,自1月份以来一直很活跃。
FortiGuard實驗室發現了關於在RapperBot惡意軟件中整合礦工代碼的新信息,該惡意軟件使用雙層XOR編碼來隱藏礦池和Monero挖礦地址。
RapperBot从C2服务器获取挖矿配置,具有多个矿池和钱包以提高弹性,并采用两个挖矿代理以增加追踪的复杂性。 如果C2无法访问,RapperBot会切换到公共矿池,并终止竞争对手的矿工。 最新版本的C2通信采用双层编码,以避免被网络流量监控器发现。
随机化的请求间隔和大小使交换更加隐蔽。 为防范此类恶意软件,用户应及时更新软件、禁用不必要的服务、更改默认密码并使用防火墙。