Up-to-date over de laatste infectiemethoden: RapperBot, CUEMiner en Rhadamanthys
Cybercriminelen ontwikkelen voortdurend hun vaardigheden en tools, op zoek naar nieuwe manieren om individuen en bedrijven te overvallen. In een recente Securelist blogpost heeft Kaspersky ongewone infectiemethoden onderzocht die door aanvallers worden gebruikt. Een van de ontdekkingen wordt RapperBot genoemd, een op Mirai gebaseerde worm die IoT-apparaten infecteert met als uiteindelijk doel DDoS-aanvallen uit te voeren tegen niet-HTTP-doelwitten. Andere methoden die in de blogpost worden genoemd, zijn een informatiesteler Rhadamanthys en CUEMiner, gebaseerd op open source malware die vermoedelijk via BitTorrent en OneDrive wordt verspreid.
RapperBot
De RapperBot werd voor het eerst waargenomen in juni 2022, toen het het Secure Shell-protocol (SSH) als doelwit had. Dit wordt beschouwd als een veilige manier om bestanden te versturen omdat het gebruik maakt van gecodeerde communicatie, in tegenstelling tot Telnet-diensten die data versturen in de vorm van platte tekst. De laatste versie van RapperBot heeft de SSH-functionaliteit echter verwijderd en richt zich nu uitsluitend op Telnet, en met behoorlijk wat succes. In Q4 2022 bereikten de infectiepogingen van RapperBot 112.000 gebruikers vanaf meer dan 2.000 unieke IP-adressen.
Wat RapperBot onderscheidt van andere wormen is zijn ‘intelligente’ manier van brute forcing: het controleert de prompt en selecteert op basis daarvan de juiste credentials. Deze methode versnelt het brute-forcingproces aanzienlijk, omdat het geen enorme lijst met referenties hoeft te doorlopen. In december 2022 waren de top-3 landen met het hoogste aantal door RapperBot geïnfecteerde apparaten Taiwan, Zuid-Korea en de Verenigde Staten.
CUEMiner
Een andere nieuwe malwarefamilie die in de blogpost van Kaspersky wordt beschreven is CUEMiner, gebaseerd op een open-source malware die in 2021 voor het eerst op Github verscheen. De nieuwste versie werd ontdekt in oktober 2022, en bevat een miner en een zogenaamde ‘watcher’. Dit programma monitort een systeem terwijl een zwaar proces, zoals een videogame, wordt gestart op een computer van een slachtoffer.
Tijdens het onderzoek naar CUEMiner constateerde Kaspersky twee methoden om de malware te verspreiden. De eerste is via getrojaniseerde gekraakte software die via BitTorrent wordt gedownload. De andere methode is via getrojaniseerde gekraakte software die wordt gedownload van OneDrive-sharingnetwerken. Aangezien er op het moment van publicatie geen directe links beschikbaar zijn, blijft het onduidelijk hoe slachtoffers worden gelokt om deze gekraakte pakketten te downloaden. Toch bieden veel crack-sites tegenwoordig niet direct downloads aan. In plaats daarvan verwijzen ze naar Discord serverkanalen voor verdere discussie. Dit suggereert een vorm van menselijke interactie en social engineering.
Dergelijke ’open source’-malware is zeer populair onder amateur of ongeschoolde cybercriminelen, omdat zij hiermee grootschalige campagnes kunnen voeren. CUEMiner-slachtoffers zijn momenteel over de hele wereld te vinden, sommige binnen bedrijfsnetwerken. Het grootste aantal slachtoffers binnen de telemetrie van Kaspersky Security Network bevindt zich in Brazilië, India en Turkije.
Rhadamanthys
Tot slot geeft de Kaspersky-blogpost nieuwe informatie over Rhadamanthys, een informatiesteler die Google Advertising gebruikt als middel om malware te verspreiden en af te leveren. Het werd in maart 2023 al vermeld op Securelist, maar sindsdien is aan het licht gekomen dat Rhadamanthys een sterke band heeft met Hidden Bee miner, rechtstreeks gericht op cryptocurrency mining. Beide monsters gebruiken afbeeldingen om de payload in te verbergen en hebben vergelijkbare shellcodes voor bootstrapping. Daarnaast gebruiken beide ‘in-memory virtual file systems’ en Lua-taal om plugins en modules te laden.
"Open source malware, hergebruik van code en rebranding worden op grote schaal gebruikt door cybercriminelen. Dit betekent dat zelfs minder ervaren aanvallers nu grootschalige campagnes kunnen uitvoeren en slachtoffers over de hele wereld kunnen treffen. Bovendien is malvertising een hot trend aan het worden, aangezien er al veel vraag naar is onder malwaregroepen. Om dergelijke aanvallen te voorkomen en uw bedrijf te beschermen tegen aanvallen, is het belangrijk om op de hoogte te zijn van wat er gaande is op het gebied van cybersecurity en de nieuwste beschikbare securitytools te gebruiken", aldus Jornt van der Wiel, senior securityonderzoeker, GReAT bij Kaspersky.
Lees meer over de nieuwe infectiemethoden en -technieken die cybercriminelen gebruiken op Securelist.
LEES OOK: Onderzoek Cisco: kleine bedrijven worstelen het meest met cybersecurity
LEES OOK: Onderzoek Cisco: slechts 8% van Nederlandse organisaties is voorbereid op cyberdreigingen
Lees meer
