СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
30.06.2025
#ИБ#Инфра

RapperBot и уязвимости видеорегистраторов: анализ атак и защит

RapperBot и уязвимости видеорегистраторов: анализ атак и защит

Вредоносное ПО RapperBot: новый взгляд на угрозы для видеорегистраторов и их защиту

На конференции Botconf 1 были представлены ключевые находки, касающиеся вредоносного ПО RapperBot — разновидности ботнета Mirai, специализирующегося на взломе видеорегистраторов. Исследования подчеркивают необходимость глубокого понимания уникальных методов атак и уязвимостей этих устройств, чтобы эффективно предотвратить заражение и уменьшить масштабы угроз.

Особенности атак на видеорегистраторы

Основу успешных атак составляют два распространённых метода:

  • принудительный вход с использованием учетных данных по умолчанию;
  • прямое использование административных интерфейсов.

По данным исследования, почти 40% словарей паролей, применяемых в версиях вредоносного ПО, подобных RapperBot, направлены на взлом именно DVR-устройств. Это подчеркивает уязвимость видеорегистраторов из-за неграмотной или стандартной настройки паролей.

Защита от атак нулевого дня: роль реальных устройств

Важнейшим аспектом борьбы с новыми уязвимостями является использование реальных устройств для тестирования и моделирования угроз. Как отмечается в отчёте, злоумышленники часто проверяют реакцию устройств перед применением эксплойтов, обходя тем самым традиционные ловушки (honeypots) для обнаружения вредоносных программ.

Мониторинг уязвимостей и эволюция RapperBot

Информацию о текущих уязвимостях получают двумя основными способами:

  • через вредоносные программы с активными функциями сканирования, например, те, что отслеживаются NICTER в даркнете;
  • посредством отчетов о реальных заражениях.

Аналитическая группа CSRI, работающая с 2022 года, выявила, что при распространении RapperBot используется четыре типа вредоносных сканеров. Последние данные за период с октября по декабрь 2024 года демонстрируют приоритет сканеров типа Recon, за которыми следуют Telnet и в меньшей степени SSH.

Разведывательные сканеры собирают информацию о устройствах после успешного входа и передают её на серверы отчетов. Полученные данные затем используются для целевых атак, что значительно усложняет выявление закономерностей в атаках нулевого дня и создает дополнительные сложности для специалистов по безопасности.

Командование и контроль: цели и методы DDoS-атак

Анализ коммуникаций C2-серверов выявил широкий спектр целей DDoS-атак:

  • преимущественно китайские компании;
  • игровые серверы;
  • CDN-сервисы по всему миру.

Это демонстрирует тенденцию к превращению DDoS-атак в коммерческую услугу (DDoS-as-a-Service), хотя взаимосвязь RapperBot с организованными поставщиками таких услуг пока не обнаружена. В частности, атака, проведённая 10 марта 2024 года по команде C2, подтвердила высокие операционные возможности ботнета.

Технические усовершенствования и новые методы маскировки

В последних версиях RapperBot произошли значительные изменения, касающиеся отказа от устаревших сканеров и улучшения методов работы с серверами C2:

  • устранена зависимость от фиксированных доменов, заменённых на несколько рандомизированных FQDN с зашифрованным списком;
  • внедрена поддержка HTTPS в векторах атак, что значительно усложняет обнаружение вредоносного трафика, маскирующегося под легитимные веб-соединения.

Уязвимости в ПО и вызовы для OEM-производителей

Одним из ключевых выводов исследования стало обнаружение, что единственная уязвимость во встроенном ПО видеорегистратора может затрагивать продукцию сразу 28 различных брендов (OEM-решений). Это значительно усложняет выработку оперативных мер реагирования, поскольку каждое устройство имеет технически различающиеся варианты реализации и брендирования.

Перспективы и планы CSRI NICT

В дальнейшем аналитическая группа CSRI NICT планирует углубить исследование уязвимостей встроенного ПО и устройств, сотрудничая с дистрибьюторами и исследовательскими институтами. Цель — повысить осведомленность конечных пользователей и внедрить более строгие меры безопасности, чтобы сократить число заражений ботнетами и повысить общую кибербезопасность IoT-оборудования.

RapperBot продолжает демонстрировать эволюцию и адаптацию под растущие требования злоумышленников, делая защиту IoT-устройств и, в частности, видеорегистраторов, одной из приоритетных задач современных специалистов в области кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: