Bitsight expose RapperBot : de lâexploitation dâun enregistreurs vidĂ©o en rĂ©seau au DDoS, avec IoCs et protocole C2
Source: Bitsight (Ă©quipe TRACE) â Dans un billet de recherche long format, un analyste raconte la compromission de son propre NVR (enregistreurs vidĂ©o en rĂ©seau ) et dĂ©taille la botnet RapperBot, de lâintrusion initiale aux campagnes DDoS, en incluant des IoCs, les mĂ©canismes C2 (TXT DNS chiffrĂ©s) et lâĂ©volution rĂ©cente de lâinfrastructure. â ChaĂźne dâinfection et capacitĂ©s â Exploitation ciblĂ©e dâun NVR exposĂ© (potentiellement via UPnP) : path traversal sur le webserver (port 80) permettant dâexfiltrer les fichiers Account1/Account2 avec identifiants hashĂ©s et en clair, puis mise Ă jour de firmware factice sur le port 34567 (admin) pour exĂ©cuter du code. Le « firmware » lance un montage NFS et exĂ©cute un binaire (z) depuis un partage distant, choix dictĂ© par un BusyBox minimal (pas de curl/wget/ftp/dev/tcp). Le malware sâexĂ©cute en mĂ©moire, efface ses traces, varie ses noms de processus, et ne maintient pas de persistance (rĂ©infection continue). Fonctions observĂ©es: scan TCP (notamment telnet 23), DDoS UDP (flood massif sur UDP/80), bruteâforce de lâadmin sur 34567. Communication C2 sur un ensemble de ports (ex. 443, 554, 993, 995, 1935, 2022, 2222, 3074, 3389, 3478, 3544, 3724, 4443, 4444, 5000, 5222, 5223, 6036, 6666, 7000, 7777, 10554, 18004, 19153, 22022, 25565, 27014, 27015, 27050, 34567, 37777). â DĂ©couverte C2 via DNS et Ă©volution â ...