Pojava sofisticirane kampanje botneta koja cilja digitalne video rekordere (DVR) predstavlja značajnu prijetnju širom svijeta za infrastrukturu nadzora. Kiberkriminalci iskorištavaju ranjive IoT uređaje kako bi izgradili masivne botnete sposobne za distribuirane napade uskraćivanjem usluge (DDoS) velikih razmjera.
RapperBot, varijanta zloglasnog malvera Mirai, sistematski kompromituje DVR sisteme radi neovlaštenog pristupa nadzornim kamerama i njihovim mogućnostima snimanja, stvarajući ozbiljne implikacije po privatnost i sigurnost za organizacije i pojedince.
Kampanja sa ovim malverom pokazuje izuzetnu upornost i evoluciju tokom protekle tri godine, pri čemu napadači kontinuirano usavršavaju svoje tehnike kako bi izbjegli otkrivanje i povećali stope infekcije.
DVR uređaji predstavljaju izuzetno privlačne mete zbog svoje stalne internetske povezanosti, slabih zadatih lozinki i rijetkih ažuriranja firmvera, što ih čini idealnim kandidatima za dugoročnu regrutaciju u botnete.
Analitičari NICTER-a su primijetili da su operateri RapperBot-a razvili četiri različite varijante malvera, od kojih je svaka dizajnirana za specifične scenarije napada i svrhe izviđanja.
Kampanja je privukla značajnu pažnju kada su istraživači identifikovali koordinirani napad na platformu X (ranije poznatu kao Twitter) 10. marta 2025. godine, pri čemu se vrijeme distribucije DDoS komandi RapperBot-a direktno poklapalo s poremećajem usluge na toj platformi.
Strategija ciljanja malvera fokusira se na DVR uređaje koje proizvodi korejski OEM ITX Security i distribuira ih pod više brendova, pokazujući kako jedna ranjivost firmvera može imati kaskadni efekat na brojne linije proizvoda.
Ovaj obrazac ranjivosti u lancu snabdijevanja omogućio je napadačima da kompromituju uređaje od različitih proizvođača koristeći identične tehnike eksploatacije, značajno pojačavajući doseg i uticaj kampanje.
**Napredni mehanizam infekcije i taktike izbjegavanja**
RapperBot koristi sofisticirani višefazni proces infekcije koji počinje skenerima tipa izviđanja koji sistematski ispituju potencijalne mete.
Varijanta Recon implementira strateški pristup gdje uspješni pokušaji prijave pokreću procedure identifikacije uređaja, pri čemu se prikupljene informacije prenose na servere za izvještavanje, zajedno sa specifičnim identifikatorima tipa.
Ova faza prikupljanja obavještajnih podataka omogućava napadačima da prilagode naknadne pokušaje eksploatacije na osnovu preciznih karakteristika uređaja.
Najnovije verzije malvera ugradile su napredne tehnike izbjegavanja, posebno u komunikacijama komande i upravljanja (C2).
Nedavne verzije koriste šifrovane TXT zapise za rješavanje C2 servera i implementiraju nasumične algoritme TLS potpisa kako bi se uklopile u legitimni HTTPS saobraćaj.
Malver generira različite JA4 potpise za svaki pokušaj povezivanja, čineći detekciju zasnovanu na mreži znatno težom za sisteme nadzora koji prate obrasce šifrirane komunikacije.
