RapperBot: эволюция масштабного ботнета и новые методы атаки
Источник: blog.xlab.qianxin.com
RapperBot — семейство активных ботнетов, функционирующее с 2021 года, привлекло к себе внимание специалистов после публичного выявления CNCERT в июле 2022 года. С марта 2025 года наблюдается резкий рост активности, что вызывает серьёзные опасения у экспертов по кибербезопасности.
Рост активности и новые тактики атаки
По данным последних отчетов, ежедневно фиксируется более 100 целей, а численность сети превышает 50 000 ботов. Помимо классических DDoS-атак, RapperBot внедрил новую тактику — вымогательство «платы за защиту». Жертвам предлагают заплатить, чтобы избежать атак типа «отказ в обслуживании» (DDoS), что свидетельствует о заметной эволюции бизнес-модели ботнета.
Инфраструктура и методы распространения
Инфраструктура RapperBot основана на многочисленных доменных именах типа командного узла (C2). Значительная часть этих доменов еще не зарегистрирована, что предоставляет исследователям возможность прогнозировать дальнейшее развитие и масштабирование сети посредством мониторинга новых регистраций.
Основные цели атак охватывают широкий спектр отраслей:
- государственное управление;
- финансовые услуги;
- социальные организации.
Особое распространение активности зафиксировано на территории Китая.
Заражение устройств и распространение вредоносного ПО происходит, преимущественно, за счет:
- использования слабых паролей Telnet;
- эксплуатации известных уязвимостей в программном обеспечении;
- атак на устройства Интернета вещей (IoT), такие как веб-камеры и маршрутизаторы с учетными данными по умолчанию или уязвимым встроенным ПО.
Технические особенности и функционал
RapperBot демонстрирует заметную техническую сложность и уникальные модификации:
- Уникальная структура данных сообщений и обработка записей DNS-TXT.
- Основные функции — проведение DDoS-атак, с октября 2024 года добавлен функционал прокси-сервера.
- Использование различных алгоритмов шифрования: от изначального Mirai-шифрования до усовершенствованного пользовательского алгоритма дешифрования.
- Генерация доменных имен командного управления через уникальный алгоритм, позволяющий шифровать и дешифровать текстовые записи.
Коммуникационный протокол RapperBot относительно прост — он использует однобайтовое XOR-шифрование без сложного обмена ключами, что упрощает и ускоряет модификацию кодировки сообщений в разных версиях ботнета.
Несмотря на обновления формата пакетов для онлайн-коммуникаций, такие ключевые параметры, как имя хоста и IP-адрес, остаются неизменными. Последние версии сетевых пакетов включают дополнительные поля, отражающие постоянную работу операторов по развитию и адаптации ботнета.
Выводы и перспективы
RapperBot продолжает развиваться, расширяя возможности и влияние на киберпространство. Рост активности и внедрение новых методов, таких как «плата за защиту», требуют повышенного внимания со стороны специалистов и организаций. Мониторинг доменов C2 и усиление защиты IoT-устройств являются ключевыми мерами в борьбе с этим угрозой.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
