W marcu 2024 r. zespół ds. badania zagrożeń Sysdig zaczął obserwować ataki na jedną z usług typu Honeypot Hadoop z domeny „rebirthltd[.]com”. Po zbadaniu zagadnienia okazało się, iż domena należy do dojrzałego i coraz bardziej popularnego botnetu DDoS-as-a-Service. Usługa opiera się na rodzinie złośliwego systemu Mirai, a operatorzy reklamują swoje usługi za pośrednictwem Telegramu oraz sklepu internetowego (rebirthltd.mysellix[.]io). Cyberprzestępcy obsługujący botnet kierują się motywacją finansową i reklamują swoje usługi przede wszystkim wśród społeczności graczy, chociaż nie ma dowodów na to, iż botnet nie jest kupowany do celów niezwiązanych z grami. Duże firmy i organizacje rządowe mogą być w dalszym ciągu narażone na ryzyko.
Organizacja RebirthLtd
Podstawą działalności RebirthLtd jest botnet DDoS, który wynajmowany jest każdemu, kto jest w stanie za taką usługę zapłacić. Obecne możliwości botnetu zobaczycie w poniższym zestawieniu:
Źródło: sysdig.comRebirth Ltd oferuje swoje usługi za pośrednictwem różnych pakietów wyszczególnionych w internetowym sklepie, zarejestrowanym od sierpnia 2022 r. Najtańszy plan, w ramach którego kupujący może wykupić subskrypcję i natychmiast uzyskać dostęp do usług botnetu, kosztuje 15 dolarów. Podstawowy plan wydaje się obejmować jedynie dostęp do plików wykonywalnych botnetu i ograniczone funkcjonalności w zakresie dostępnej liczby zainfekowanych klientów. Droższe plany obejmują dostęp do API, dostępność serwerów C2 i ulepszone funkcje, takie jak liczba możliwych do przeprowadzenia ataków na sekundę.
Źródło: sysdig.comWygląda na to, iż główne usługi botnetu atakują streamy i serwery online gier wideo w celu uzyskania korzyści finansowych.
W kwietniu 2023 r. powstał oficjalny kanał Telegram botnetu, ale pierwsza wiadomość reklamująca botnet Rebirth została opublikowana pod koniec stycznia 2024 r. Regularne aktualizacje publikowane są co kilka dni. W chwili pisania tego tekstu liczba subskrybentów wynosi ponad 200 osób.
Botnet monitorowany jest przez witrynę tumult.network, gdzie pojawia się w topce jako piąty botnet pod względem łącznej liczby żądań wysłanych prawdopodobnie do celów typu Flood.
Jaki to malware?
Podobnie jak w przypadku wielu wariantów botnetów i złośliwego oprogramowania, Rebirth jest kulminacją wielu dobrze znanych rodzin malware. Badając powiązane poprzednie kampanie, znaleźliśmy tweet z maja 2020 r., który zawierał szczegółową analizę złośliwego systemu nazwanego przez autora „Rebirth” i „Vulcan”.
Z analizy przeprowadzonej w 2020 r. w serwisie VirusTotal wynika, iż rodzina szkodliwego systemu Rebirth/Vulcan dla tego botnetu DDoS nie została oznaczona jako Mirai, ale jako osobna rodzina znana pod nazwą Rebirth. Został opisany jako botnet zbudowany na bazie Gafgyt, ale stworzony specjalnie z myślą o urządzeniach IoT. Według autora szkodliwe oprogramowanie odziedziczyło również pewne możliwości po znanych rodzinach QBot i STDBot, również wykorzystując znane exploity.
Stare ustalenia dotyczą wczesnej postaci ataków botnetów DDoS Rebirth, które obserwujemy obecnie. Kampanie poprzedzające sierpień 2022 r. były prawdopodobnie prowadzone przez liderów lub stowarzyszonych członków Rebirth, natomiast ataki następujące po reklamie Rebirth jako botnetu DDoS jako usługi prawdopodobnie obejmowały kupujących.
Metoda infekcji
Szkodliwe programy ELF rozprzestrzeniają się w systemie docelowym poprzez pobranie i wykonanie skryptu bash, którego kod pozostaje taki sam we wszystkich kampaniach. Nazwa pliku i nazwy plików wykonywalnych zmieniają się w zależności od kampanii lub wykorzystywanej luki. Na przykład nazwa jednego ze znalezionych skryptów pochodzi od systemu Ruckus Wireless Admin, które w pewnym momencie było podatne na atak CVE-2023-25717. W tym przypadku widać, iż gdy osoby atakujące znajdą podatne na ataki oprogramowanie Ruckus, wdrażają określony zgodny wariant botnetu.
Źródło: sysdig.comSkrypt zawsze ma tę samą strukturę:
- Próbuje zmienić katalog (cd) na kilka lokalizacji, takich jak /tmp, /var/run, /mnt i /root. Prawdopodobnie jest to próba przejścia do popularnych katalogów, w których mogą być przechowywane pliki tymczasowe lub systemowe.
- Następnie próbuje pobrać wiele plików ze zdalnego serwera dzięki wget. Pliki te mają nazwy takie jak np. rebirth.mips, rebirth.mpsl, rebirth.sh4 itp.
- Po pobraniu każdego pliku ustawia uprawnienia do wykonywania (chmod +x) i wykonuje je (./filename). Pliki te są następnie usuwane (rm -rf) po wykonaniu.
Drugi wariant skryptu bash przesyła złośliwe pobieranie i wykonywanie plików ELF do „busybox” dzięki następującego polecenia:
Źródło: sysdig.comByć może jest to niedawne wprowadzenie, którego celem jest zminimalizowanie ryzyka wykrycia poprzez wykorzystanie wielu wbudowanych poleceń busybox. Odkrycie to potwierdza również dowody znalezione wcześniej na Rebirth, gdzie ładunki różnią się w zależności od tego, czy cel korzysta z pakietu busybox.
Podsumowanie
Wydanie kodu źródłowego Mirai w 2017 r. i pojawienie się kryptowalut stworzyło zupełnie nową branżę wokół oferowania botnetów do usług typu DDoS. Rebirth pokazuje ciągłą ewolucję tego modelu biznesowego, w miarę jak staje się on coraz bardziej wyrafinowany pod względem komercyjnym, przy jednoczesnym wykorzystaniu obecnego boomu na CVE.
Bez względu na motywację użytkowników usługi te będą w dalszym ciągu stanowić zagrożenie dla wszystkich sieci i zwracać uwagę na potrzebę zachowania higieny bezpieczeństwa. Organizacje oczywiście nie chcą stać się częścią botnetów, ponieważ będzie to skutkować gorszą wydajnością, zwiększonymi kosztami i potencjalnie szkodą na reputacji. Proaktywne zarządzanie lukami w zabezpieczeniach i wykrywanie zagrożeń w czasie rzeczywistym to dwa skuteczne sposoby radzenia sobie z podobnymi zagrożeniami.
