Kampanye RapperBot Baru Meluncurkan Serangan DDoS ke Server Game
illustrasi
Cyberthreat.id – Peneliti keamanan siber dari Fortinet FortiGuard Labs, Joie Salvio dan Roy Tay mengungkapkan bahwa pihaknya menemukan sampel malware baru yang disebut RapperBot yang digunakan untuk membangun botnet yang mampu meluncurkan serangan Distributed Denial of Service (DDoS) ke server game.
“Kampanye ini kurang mirip RapperBot daripada kampanye lama yang muncul pada Februari dan kemudian menghilang secara misterius pada pertengahan April,” ungkap para peneliti dalam laporan resmi, sesuai yang dikutip dari The Hacker News.
Malware yang baru lahir sangat terinspirasi oleh botnet Mirai, yang kode sumbernya bocor pada Oktober 2016, yang menyebabkan munculnya beberapa varian. RapperBot baru ini telah dilengkapi dengan kemampuan untuk melakukan Telnet brute-force, selain mendukung serangan DoS menggunakan protokol tunneling Generic Routing Encapsulation (GRE).
“Kode brute-forcing Telnet dirancang terutama untuk perbanyakan diri dan menyerupai botnet Mirai Satori lama,” kata para peneliti.
Peneliti menjelaskan, daftar kredensial teks biasa yang dikodekan keras ini, yang merupakan kredensial default yang terkait dengan perangkat IoT, disematkan ke dalam biner sebagai lawan mengambilnya dari server perintah-dan-kontrol (C2), perilaku yang diamati dalam artefak yang terdeteksi setelah bulan Juli 2022. Pembobolan yang berhasil diikuti dengan melaporkan kredensial yang digunakan kembali ke server C2 dan memasang muatan RapperBot pada perangkat yang diretas.
Sementara itu, Fortinet mengatakan malware tersebut dirancang untuk hanya menargetkan peralatan yang berjalan pada arsitektur ARM, MIPS, PowerPC, SH4, dan SPARC, dan menghentikan mekanisme propagasi sendiri jika berjalan pada chipset Intel.
Terlebih lagi, kampanye Oktober 2022 ditemukan berbagi tumpang tindih dengan operasi lain yang melibatkan malware sejauh Mei 2021, dengan modul penyebar Telnet muncul pertama kali pada Agustus 2021, hanya untuk dihapus dalam sampel selanjutnya dan diperkenalkan kembali bulan lalu.
"Berdasarkan kesamaan yang tak terbantahkan antara kampanye baru ini dan kampanye RapperBot yang dilaporkan sebelumnya, sangat mungkin mereka dioperasikan oleh pelaku ancaman tunggal atau oleh pelaku ancaman berbeda dengan akses ke kode sumber yang dibagikan secara pribadi," para peneliti menyimpulkan.
