СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
20.06.2025
#ИБ#Инфра

RapperBot: анализ масштабного ботнета и новых угроз DDoS-атак

RapperBot: анализ масштабного ботнета и новых угроз DDoS-атак

Источник: blog.xlab.qianxin.com

RapperBot: Эволюция мощного ботнета с тактикой вымогательства и уникальными техническими решениями

В июле 2022 года было выявлено семейство активных ботнетов RapperBot, хотя его деятельность ведётся с 2021 года. Этот ботнет привлёк к себе внимание специалистов по кибербезопасности благодаря масштабности и совершенству реализуемых атак.

Ключевые события и масштаб деятельности

Особенно показательной стала атака на платформу Deepseek в феврале 2025 года. С марта того же года в операции были задействованы более 50 000 ботов и примерно 100 ежедневных целей. Такое количество одновременно активных узлов свидетельствует о значительном оперативном потенциале RapperBot.

Особого внимания заслуживает то, что в схеме атак используется тактика вымогательства: злоумышленники требуют от жертв «плату за защиту», чтобы избежать DDoS-атак. Это указывает на высокий уровень организационной структуры и мотивации операторов ботнета.

Инфраструктура и методы управления

Инфраструктура RapperBot включает в себя использование 32 доменов управления (C2), причем часть из этих доменов остаётся незарегистрированной. С целью мониторинга и ограничения масштабирования ботнета специалисты предприняли упреждающие меры — зарегистрировали неиспользуемые домены, что позволило получить более глубокое понимание активности сети.

  • Анализ хостов, подключённых к доменам C2, показал географическое и отраслевое распространение ботнета.
  • Наибольший удар пришёлся на Китай — значительная часть активных целей находится именно там.
  • Область применения охватывает ключевые секторы: государственное управление, социальное обеспечение, интернет-платформы, производство и финансовые услуги.

Технические детали эксплуатации и уязвимости

RapperBot активно использует уязвимости устройств Интернета вещей (IoT), которые зачастую имеют слабые пароли по умолчанию или дефекты встроенного ПО. К числу таких устройств относятся сетевые камеры, маршрутизаторы и другие подобные гаджеты.

Основные точки проникновения вредоносного ПО — это входы через Telnet и известные уязвимости систем. Вариации RapperBot отличаются в основном деталями структуры данных и методами анализа, сохраняя при этом общие функциональные задачи — преимущественно DDoS-атаки.

С октября 2024 года в ботнет были интегрированы функции прокси-сервера, что значительно расширило возможности злоумышленников для сокрытия трафика и обхода защит.

Особенности разрешения доменов и шифрования

Одной из ключевых особенностей RapperBot является нетрадиционный метод разрешения доменов C2: вместо стандартных запросов используются записи DNS-TXT. Вредоносная программа задействует разные форматы записей TXT и в новых образцах случайно выбирает порт из пула из 35 кандидатов, а не фиксированный порт.

Что касается шифрования, в ранних версиях применялись алгоритмы, схожие с Mirai. Позже злоумышленники развили собственные методы дешифрования с чередованием ключей — это усилило меры безопасности и затруднило анализ трафика с помощью стандартных средств.

Начиная с марта 2025 года для записей TXT и доменов C2 ботнет реализует особый алгоритм дешифрования: из уникальной таблицы строк с помощью механизма разделения генерируются 32 потенциальных домена управления.

Сетевой протокол RapperBot относительно прост и не использует сложных протоколов обмена ключами или шифрования. Для защиты данных применяется операция XOR с одним байтом и переменным ключом.

Варианты бота поддерживают незначительные изменения в структуре пакетов при входе в систему, при этом ключевые поля сохраняются неизменными — имя хоста, источник и IP-адреса. Это обеспечивает формирование и поддержание единой сетевой базы RapperBot.

Выводы

RapperBot демонстрирует высокий уровень технологической зрелости, сочетая масштабные DDoS-атаки, стратегию вымогательства и продвинутые методы обхода защиты. Его нацеленность на IoT-устройства и государственные сервисы указывает на серьёзную угрозу для информационной инфраструктуры различных отраслей.

Профилактические меры в виде упреждающей регистрации доменов и глубокий анализ трафика остаются ключевыми средствами в борьбе с подобными угрозами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: