Fortinetは8月3日(米国時間)、「So RapperBot, What Ya Bruting For?|FortiGuard Labs」において、「RapperBot」と呼ばれる急速に進化しているIoTマルウェアファミリーについて伝えた。このマルウェアは「Mirai」ボットネットのソースコードを大幅に流用しており、認証情報をブルートフォース攻撃してSSHサーバにアクセスする機能が提供されていることが明らかとなった。

  • So RapperBot、What Ya Bruting For?|FortiGuard Labs

    So RapperBot, What Ya Bruting For?|FortiGuard Labs

RapperBotは、2022年6月にFortinetのセキュリティチームによって発見されたIoTデバイスを標的とした新たなLinuxボットネット。他の多くのIoTボットネットと同様、ARM、MIPS、SPARC、x86などさまざまなアーキテクチャをターゲットにしていることが判明している。

このボットネットは、有名なMiraiボットネットのソースコードを大幅に再利用していることが確認されている。しかしながら、その機能や実装の詳細(コマンド&コントロール(C2: Command and Control)コマンドプロトコルなど)は、オリジナルのMiraiや他のMirai亜種とは大きく異なっているという。

Miraiの亜種の大半は、デフォルトまたは脆弱なパスワードを使用してTelnetサーバをブルートフォース攻撃するが、RapperBotは、パスワード認証を受け入れるように設定されたSSHサーバのみをスキャンし、ブルートフォース攻撃を行うよう設計されている。コードの大部分には、SSH 2.0クライアントの実装が含まれており、768ビットまたは2048ビット鍵によるDiffie-Hellmann鍵交換とAES128-CTRによるデータ暗号化をサポートするSSHサーバにブルートフォース攻撃を仕掛けることがわかった。

調査によると6月中旬以降、このボットネットが3500 超えるユニークなIPを使用して、Linux SSHサーバをスキャンし、ブルート フォース攻撃を試みたことが明らかになったとのことだ。そして、ユニークなIPのほとんどが米国、台湾、韓国からだったという。

  • Scanner IP Count from mid-June 2022 to late July 2022|FortiGuard Labs

    Scanner IP Count from mid-June 2022 to late July 2022|FortiGuard Labs

Fortinetは、このボットネットの増殖方法がSSHへのブルートフォース攻撃であるため、デバイスに強力なパスワードを設定するか、可能であればSSHのパスワード認証を無効にすることでこの脅威を容易に軽減できると助言している。