NoaBot ботнет

Актьорите на заплахи са използвали новопоявил се ботнет, наречен NoaBot, който е изграден върху рамката Mirai, в инициатива за крипто копаене. Смята се, че операцията е в ход най-малко от началото на 2023 г. NoaBot може да се похвали с функции като саморазпространяващ се червей и задна врата на SSH ключ, което позволява изтеглянето и изпълнението на допълнителни двоични файлове или разпространението до нови цели.

Кодът на Mirai все още се използва за създаването на нов зловреден софтуер

Ботнетът Mirai е прочут вид злонамерен софтуер, който е насочен предимно към устройства за интернет на нещата (IoT). Пускането на изходния код позволи на други злонамерени участници да създадат свои собствени версии на зловреден софтуер, което доведе до разпространение на базирани на Mirai ботнети. Тази широко разпространена наличност на изходния код допринесе за увеличаване на броя и мащаба на свързаните с IoT атаки, поставяйки значителни предизвикателства пред специалистите по киберсигурност и производителите на устройства. Наистина, многобройни варианти и спин-офи на ботнета Mirai се появиха след откриването му, всеки със свои собствени модификации и подобрения. Тези варианти често са насочени към специфични уязвимости или се фокусират върху различни типове IoT устройства. Някои от скандалните базирани на Mirai ботнети включват Reaper, Satori и Okiru. Един от най-новите ботнети, които използват кода на Mirai, е InfectedSlurs, който е в състояние да извършва разпределени атаки за отказ на услуга (DDoS).

Специфични характеристики на NoaBot Botnet

Има индикации, предполагащи потенциална връзка между NoaBot и друга ботнет кампания, свързана с базирано на Rust семейство зловреден софтуер, наречено P2PInfect. Този конкретен зловреден софтуер наскоро претърпя актуализация, за да се съсредоточи върху насочването към рутери и устройства за интернет на нещата (IoT). Основата за тази връзка се крие в наблюдението, че участниците в заплахата са експериментирали със замяната на P2PInfect с NoaBot при скорошни атаки срещу SSH сървъри, намеквайки за потенциални усилия за преминаване към персонализиран зловреден софтуер.

Въпреки че NoaBot е вкоренен в Mirai, модулът му за разпространение използва SSH скенер за идентифициране на сървъри, уязвими на речникови атаки, което му позволява да извършва опити за груба сила. Впоследствие злонамереният софтуер добавя SSH публичен ключ към файла .ssh/authorized_keys, което позволява отдалечен достъп. По желание NoaBot може да изтегли и изпълни допълнителни бинарни файлове след успешна експлоатация или да се разпространява към нови жертви.

За отбелязване е, че NoaBot е компилиран с uClibc, променяйки начина, по който механизмите за сигурност откриват зловреден софтуер. Докато други варианти на Mirai обикновено се идентифицират с помощта на подпис на Mirai, анти-злонамерените подписи на NoaBot го категоризират като SSH скенер или общ троянски кон. В допълнение към използването на тактика на обфускация за усложняване на анализа, последователността от атаки в крайна сметка завършва с внедряването на модифицирана версия на копача на монети XMRig .

NoaBot е оборудван с подобрени функции за прикриване

Това, което отличава този нов вариант от другите кампании, базирани на ботнет на Mirai , е забележителното му пропускане на информация, отнасяща се до пула за копаене или адреса на портфейла. Това отсъствие прави предизвикателство да се прецени рентабилността на незаконната операция за добив на криптовалута.

Копачът взема допълнителни предпазни мерки, като замъглява конфигурацията си и използва персонализиран пул за копаене, като стратегически предотвратява излагането на адреса на портфейла. Това ниво на готовност, демонстрирано от участниците в заплахата, отразява умишлено усилие за подобряване на скритостта и устойчивостта на тяхната операция.

Към момента изследователите на киберсигурността са идентифицирали 849 IP адреса на жертви, разпръснати по целия свят, като значителни концентрации са отбелязани в Китай. Всъщност тези инциденти съставляват близо 10% от всички атаки срещу honeypots през 2023 г., което подчертава глобалния обхват и въздействие на този конкретен вариант.