自2022年6月中旬以来，一个名为 "RapperBot "的新僵尸网络被用于攻击，重点是通过暴力手段进入Linux SSH服务器，在设备上建立一个立足点。
研究人员表明，RapperBot基于Mirai木马，但偏离了原始恶意软件的正常行为，即不受控制地传播到尽可能多的设备。
相反，RapperBot受到更严格的控制，具有有限的DDoS能力，其操作似乎面向初始服务器访问，可能被用作网络内横向移动的垫脚石。
自发现以来的1.5个月里，这个新的僵尸网络在全球范围内使用了超过3500个独特的IP来扫描和尝试破解Linux SSH服务器。
以Mirai为基础，但仍有所不同

这个新的僵尸网络是由Fortinet的威胁检测在偏远网络发现的，他们注意到这个物联网恶意软件有一些不寻常的SSH相关字符串，并决定进一步调查。
事实证明，RapperBot是Mirai的分叉，但它有自己的命令和控制（C2）协议，独特的功能，以及非典型的（对僵尸网络而言）破坏后的活动。
"与大多数Mirai变种不同的是，RapperBot专门扫描并试图对配置为接受密码认证的SSH服务器进行暴力攻击，这些变种使用默认或弱密码。
"恶意软件的大部分代码包含一个SSH 2.0客户端的实现，该客户端可以连接并强制执行任何支持768位或2048位密钥的Diffie-Hellmann密钥交换和使用AES128-CTR的数据加密的SSH服务器。"
SSH暴力破解依赖于通过主机特有的TCP请求从C2下载的证书列表，而恶意软件在成功后会向C2报告。
Fortinet研究人员跟踪该机器人并继续对新的变体进行采样，注意到RapperBot通过远程二进制下载器使用自我传播机制，该机制在7月中旬被威胁者删除。
当时流传的较新变种的特点是用行为人的shell命令替换受害者的SSH密钥，基本上建立了持久性，即使在SSH密码改变后也能保持。
此外，RapperBot增加了一个系统，将行为人的SSH密钥附加到主机的"~/.ssh/authorized_keys "中，这有助于在重启之间或即使恶意软件被发现并删除，也能保持服务器上的访问。
在研究人员分析的最新样本中，机器人在被入侵的端点上添加了根用户 "suhelper"，并创建了一个Cron作业，每小时重新添加用户，以防管理员发现该账户并将其删除。
此外，值得注意的是，恶意软件作者在后来的样本中为字符串添加了额外的混淆层，如XOR编码。
图 2在后来的变种中增加了字符串混淆功能（Fortinet）

大多数僵尸网络要么进行DDoS攻击，要么通过劫持主机的可用计算资源从事硬币挖掘，有些僵尸网络则两者兼而有之。

然而，RapperBot的目标并不明显，因为作者将其DDoS功能保持在有限的范围内，甚至在某些时候删除并重新引入这些功能。

此外，删除自我传播和增加持久性和检测规避机制表明，该僵尸网络的运营商可能对赎金软件行为者的初始访问销售感兴趣。

Fortinet报告说，其分析师在监测期间没有看到额外的有效载荷交付，所以恶意软件只是在受感染的Linux主机上筑巢，并处于休眠状态。