NoaBot Botnet
Els actors de l'amenaça han emprat una botnet de nova creació anomenada NoaBot, que es basa en el marc de Mirai, en una iniciativa de criptomineria. Es creu que l'operació ha estat en curs almenys des de principis de 2023. NoaBot compta amb funcions com ara un cuc autopropagador i una porta posterior de clau SSH, que permeten la descàrrega i l'execució de binaris addicionals o la propagació a objectius nous.
Taula de continguts
El codi de Mirai encara s'està utilitzant per a la creació de nou programari maliciós
La botnet Mirai és una varietat de programari maliciós notòria que s'adreça principalment a dispositius d'Internet de les coses (IoT). El llançament del codi font va permetre a altres actors maliciosos crear les seves pròpies versions del programari maliciós, donant lloc a una proliferació de botnets basades en Mirai. Aquesta disponibilitat generalitzada del codi font va contribuir a augmentar el nombre i l'escala d'atacs relacionats amb IoT, i va suposar reptes importants per als professionals de la ciberseguretat i els fabricants de dispositius. De fet, han sorgit nombroses variants i derivacions de la botnet Mirai des del seu descobriment, cadascuna amb les seves pròpies modificacions i millores. Aquestes variants solen dirigir-se a vulnerabilitats específiques o se centren en diferents tipus de dispositius IoT. Algunes de les infames botnets basades en Mirai inclouen Reaper, Satori i Okiru. Una de les botnets més recents que utilitzen el codi de Mirai és InfectedSlurs, que és capaç de dur a terme atacs de denegació de servei distribuït (DDoS).
Característiques específiques de la botnet NoaBot
Hi ha indicis que suggereixen una possible connexió entre NoaBot i una altra campanya de botnet associada amb una família de programari maliciós basada en Rust anomenada P2PInfect. Aquest programari maliciós en particular s'ha actualitzat recentment per centrar-se en els encaminadors i els dispositius d'Internet de les coses (IoT). La base d'aquesta connexió rau en l'observació que els actors de les amenaces han experimentat amb la substitució de P2PInfect per NoaBot en atacs recents a servidors SSH, deixant entreveure els possibles esforços per passar a programari maliciós personalitzat.
Tot i que NoaBot està arrelat a Mirai, el seu mòdul de propagació utilitza un escàner SSH per identificar servidors vulnerables als atacs de diccionari, cosa que li permet dur a terme intents de força bruta. Posteriorment, el programari maliciós afegeix una clau pública SSH al fitxer .ssh/authorized_keys, permetent l'accés remot. Opcionalment, NoaBot pot descarregar i executar binaris addicionals després d'una explotació exitosa o propagar-se a noves víctimes.
Notablement, NoaBot es compila amb uClibc, alterant com els motors de seguretat detecten el programari maliciós. Mentre que altres variants de Mirai s'identifiquen normalment amb una signatura Mirai, les signatures anti-malware de NoaBot la classifiquen com a escàner SSH o un troià genèric. A més d'utilitzar tàctiques d'ofuscació per complicar l'anàlisi, la seqüència d'atac culmina finalment amb el desplegament d'una versió modificada del miner de monedes XMRig .
NoaBot està equipat amb funcions d'ofuscament millorades
El que diferencia aquesta nova variant d'altres campanyes basades en botnets de Mirai és la seva notable omissió d'informació relacionada amb el grup de mineria o l'adreça de la cartera. Aquesta absència fa que sigui difícil avaluar la rendibilitat de l'operació il·lícita de mineria de criptomoneda.
El miner pren precaucions addicionals ofuscant la seva configuració i utilitzant un grup de mineria personalitzat, evitant estratègicament l'exposició de l'adreça de la cartera. Aquest nivell de preparació que mostren els actors de l'amenaça reflecteix un esforç deliberat per millorar el sigil i la resiliència de les seves operacions.
Fins ara, els investigadors de ciberseguretat han identificat 849 adreces IP de víctimes disperses per tot el món, amb concentracions importants observades a la Xina. De fet, aquests incidents constitueixen gairebé el 10% de tots els atacs contra honeypots el 2023, cosa que subratlla l'abast global i l'impacte d'aquesta variant en particular.
