NoaBot الروبوتات

استخدمت الجهات التهديدية شبكة الروبوتات الناشئة حديثًا المسماة NoaBot، والمبنية على إطار عمل Mirai، في مبادرة تعدين العملات المشفرة. ويُعتقد أن العملية مستمرة منذ بداية عام 2023 على الأقل. ويتميز NoaBot بميزات مثل دودة ذاتية الانتشار وباب خلفي لمفتاح SSH، مما يتيح تنزيل وتنفيذ الثنائيات التكميلية أو النشر إلى أهداف جديدة.

لا يزال رمز Mirai قيد الاستخدام لإنشاء برامج ضارة جديدة

تعد شبكة Mirai botnet بمثابة سلالة برامج ضارة سيئة السمعة تستهدف في المقام الأول أجهزة إنترنت الأشياء (IoT). وقد مكّن إصدار الكود المصدري الجهات الفاعلة الخبيثة الأخرى من إنشاء إصداراتها الخاصة من البرامج الضارة، مما أدى إلى انتشار شبكات الروبوتات المستندة إلى Mirai. وقد ساهم هذا التوفر على نطاق واسع للكود المصدري في زيادة عدد وحجم الهجمات المتعلقة بإنترنت الأشياء، مما يشكل تحديات كبيرة لمحترفي الأمن السيبراني وشركات تصنيع الأجهزة. في الواقع، ظهرت العديد من المتغيرات والفوائد العرضية لشبكة الروبوتات ميراي منذ اكتشافها، ولكل منها تعديلاتها وتحسيناتها الخاصة. غالبًا ما تستهدف هذه المتغيرات نقاط ضعف معينة أو تركز على أنواع مختلفة من أجهزة إنترنت الأشياء. بعض شبكات الروبوتات سيئة السمعة المستندة إلى Mirai تشمل Reaper وSatori وOkiru. واحدة من أحدث شبكات الروبوت التي تستخدم كود Mirai هي InfectedSlurs، القادرة على تنفيذ هجمات رفض الخدمة الموزعة (DDoS).

الخصائص المحددة لشبكة NoaBot Botnet

هناك دلائل تشير إلى وجود اتصال محتمل بين NoaBot وحملة الروبوتات الأخرى المرتبطة بعائلة البرامج الضارة المستندة إلى Rust والتي تسمى P2PInfect. خضعت هذه البرامج الضارة مؤخرًا لتحديث للتركيز على استهداف أجهزة التوجيه وأجهزة إنترنت الأشياء (IoT). يكمن أساس هذا الاتصال في ملاحظة أن الجهات الفاعلة في مجال التهديد قد جربت استبدال P2PInfect بـ NoaBot في الهجمات الأخيرة على خوادم SSH، مما يشير إلى الجهود المحتملة للانتقال إلى البرامج الضارة المخصصة.

على الرغم من أن NoaBot متجذر في Mirai، إلا أن وحدة التوزيع الخاصة به تستخدم ماسح ضوئي SSH لتحديد الخوادم المعرضة لهجمات القاموس، مما يسمح له بإجراء محاولات القوة الغاشمة. وبعد ذلك، تضيف البرامج الضارة مفتاح SSH العام إلى ملف .ssh/authorized_keys، مما يتيح الوصول عن بعد. اختياريًا، يمكن لـ NoaBot تنزيل وتنفيذ ثنائيات إضافية بعد الاستغلال الناجح أو نشر نفسه إلى ضحايا جدد.

والجدير بالذكر أن NoaBot تم تجميعه مع uClibc، مما يغير كيفية اكتشاف محركات الأمان للبرامج الضارة. في حين يتم تحديد متغيرات Mirai الأخرى عادةً باستخدام توقيع Mirai، فإن توقيعات NoaBot لمكافحة البرامج الضارة تصنفها على أنها ماسح ضوئي SSH أو حصان طروادة عام. بالإضافة إلى استخدام أساليب التشويش لتعقيد التحليل، فإن تسلسل الهجوم يبلغ ذروته في نهاية المطاف بنشر نسخة معدلة من أداة تعدين العملات XMRig .

تم تجهيز NoaBot بميزات التعتيم المحسنة

ما يميز هذا المتغير الجديد عن الحملات الأخرى المستندة إلى شبكة الروبوتات Mirai هو إغفاله الملحوظ للمعلومات المتعلقة بمجمع التعدين أو عنوان المحفظة. هذا الغياب يجعل من الصعب قياس ربحية عملية التعدين غير المشروعة للعملات المشفرة.

يتخذ عامل التعدين احتياطات إضافية من خلال حجب تكوينه واستخدام مجمع تعدين مخصص، مما يمنع بشكل استراتيجي كشف عنوان المحفظة. يعكس هذا المستوى من الاستعداد الذي أبدته الجهات التهديدية جهدًا متعمدًا لتعزيز التخفي والمرونة في عملياتهم.

حتى الآن، حدد باحثو الأمن السيبراني 849 عنوان IP للضحية منتشرة في جميع أنحاء العالم، مع ملاحظة تركيزات كبيرة في الصين. في الواقع، تشكل هذه الحوادث ما يقرب من 10% من جميع الهجمات ضد مصائد مخترقي الشبكات في عام 2023، مما يؤكد مدى الانتشار العالمي وتأثير هذا البديل بالتحديد.