Source: Bitsight (équipe TRACE) — Dans un billet de recherche long format, un analyste raconte la compromission de son propre NVR (enregistreurs vidéo en réseau ) et détaille la botnet RapperBot, de l’intrusion initiale aux campagnes DDoS, en incluant des IoCs, les mécanismes C2 (TXT DNS chiffrés) et l’évolution récente de l’infrastructure.

— Chaîne d’infection et capacités —

  • Exploitation ciblée d’un NVR exposé (potentiellement via UPnP) : path traversal sur le webserver (port 80) permettant d’exfiltrer les fichiers Account1/Account2 avec identifiants hashés et en clair, puis mise à jour de firmware factice sur le port 34567 (admin) pour exécuter du code.
  • Le « firmware » lance un montage NFS et exécute un binaire (z) depuis un partage distant, choix dicté par un BusyBox minimal (pas de curl/wget/ftp/dev/tcp). Le malware s’exécute en mémoire, efface ses traces, varie ses noms de processus, et ne maintient pas de persistance (réinfection continue).
  • Fonctions observées: scan TCP (notamment telnet 23), DDoS UDP (flood massif sur UDP/80), brute‑force de l’admin sur 34567. Communication C2 sur un ensemble de ports (ex. 443, 554, 993, 995, 1935, 2022, 2222, 3074, 3389, 3478, 3544, 3724, 4443, 4444, 5000, 5222, 5223, 6036, 6666, 7000, 7777, 10554, 18004, 19153, 22022, 25565, 27014, 27015, 27050, 34567, 37777).

— Découverte C2 via DNS et évolution —

  • V1: TXT DNS en clair depuis des domaines OpenNIC (.libre) résolus via résolveur OpenNIC (65.21.1.106), contournant l’infrastructure ICANN; extraction directe d’IP C2 depuis TXT.
  • V2: schéma similaire mais TXT chiffrés et FQDNs combinatoires (4 sous-domaines × 4 domaines × 2 TLD = 32 noms), résolus via un pool de DNS codés en dur. L’auteur a extrait et reconstitué le déchiffreur (étapes de permutation style RC4/KSA + transformation base‑56), confirmant la rotation des C2.
  • Protocole C2: paquets XOR 1 octet avec checksum d’en‑tête; padding aléatoire de longueur variable. Binaire statique, dépouillé, anti‑debug; chaînes chiffrées; exécution multi‑arch.

— Infrastructure, artefacts et piste policière —

  • Dépôt malware central sur 104.194.9.127 (NFS/FTP/SSH et ports atypiques; accès FTP anonyme; scripts multi‑téléchargeurs via HTTP/FTP/NFS). Scripts pointant vers d’autres dépôts HTTP; indices humoristiques (ex: Monero/XMR pour « blacklist ASN ») et domaines auxiliaires (v1s.co, zya.tf, zya.nz).
  • Scanners/exploiteurs: 204.76.203.220 (AS51396, NL) courant mi‑2025; auparavant 154.81.156.55 (SG, AS20473) puis 185.36.81.60.
  • Août 2025: annonce du U.S. Attorney’s Office (District of Alaska) dans le cadre d’Operation PowerOFF visant l’administrateur présumé de « RapperBot » (pic de reconnexions de bots observé). Les C2 actifs ne parlent plus le protocole habituel et ferment les connexions.

— IoCs (extraits) et TTPs —

  • IPs dépôt/infra: 104.194.9.127 (NFS/FTP/SSH); historiques de dépôts: 94.26.90.217, 77.90.153.136, 185.218.87.28, 185.218.87.29.
  • IPs scan/exploit: 204.76.203.220 (NL), 154.81.156.55 (SG), 185.36.81.60.
  • IPs C2 (décryptées ou vues dans TXT): 194.226.121.51, 188.92.28.62, 192.145.28.71, 45.89.63.25, 82.24.200.141, 82.24.200.137, 82.24.200.139, 172.234.130.93, 35.225.197.113, 209.196.146.115.
  • Domaines/FQDNs: iranistrash.libre, pool.rentcheapcars.sbs, v1s.co, zya.tf, zya.nz, et combinaisons comme EICp.GaihWstPZUoMtfnU.live, KDXA.zkUAFIMFDwVETXJQ.info (TXT chiffrés); résolveur OpenNIC: 65.21.1.106.
  • TTPs majeurs: repérage d’équipements exposés, path traversal pour vol d’identifiants, mise à jour firmware factice sur 34567, exécution via NFS (BusyBox limité), brute‑force admin, scans telnet/23, DDoS UDP/80, C2 via TXT DNS chiffrés avec permutation style RC4 et décodage base‑56, paquets C2 XOR avec checksum d’en‑tête, exécution en mémoire sans persistance, rotation d’infra et multi‑protocoles de téléchargement (NFS/FTP/HTTP).

Type d’article: publication technique d’analyse de menace avec partage d’IoCs, détaillant la killchain, le protocole C2 et l’évolution infra, avec une note sur une opération judiciaire récente. 🔎

🧠 TTPs et IOCs détectés

TTP

[‘Exploitation ciblée d’un NVR exposé via path traversal’, ‘Vol d’identifiants hashés et en clair’, ‘Mise à jour de firmware factice pour exécution de code’, ‘Exécution de malware en mémoire sans persistance’, ‘Scan TCP, notamment telnet sur port 23’, ‘DDoS UDP flood sur port 80’, ‘Brute-force de l’admin sur port 34567’, ‘Communication C2 via DNS TXT chiffrés’, ‘Utilisation de permutations style RC4 et base-56 pour déchiffrement’, ‘Paquets C2 XOR avec checksum d’en-tête’, ‘Rotation d’infrastructure C2’, ‘Utilisation de multi-protocoles de téléchargement (NFS/FTP/HTTP)’]

IOC

{‘ips’: [‘104.194.9.127’, ‘94.26.90.217’, ‘77.90.153.136’, ‘185.218.87.28’, ‘185.218.87.29’, ‘204.76.203.220’, ‘154.81.156.55’, ‘185.36.81.60’, ‘194.226.121.51’, ‘188.92.28.62’, ‘192.145.28.71’, ‘45.89.63.25’, ‘82.24.200.141’, ‘82.24.200.137’, ‘82.24.200.139’, ‘172.234.130.93’, ‘35.225.197.113’, ‘209.196.146.115’], ‘domains’: [‘iranistrash.libre’, ‘pool.rentcheapcars.sbs’, ‘v1s.co’, ‘zya.tf’, ‘zya.nz’, ‘EICp.GaihWstPZUoMtfnU.live’, ‘KDXA.zkUAFIMFDwVETXJQ.info’], ‘resolver’: ‘65.21.1.106’}

🔗 Source originale : https://www.bitsight.com/blog/rapperbot-infection-ddos-split-second