Botnet NoaBot
Aktéři hrozeb použili nově vzniklý botnet s názvem NoaBot, který je postaven na rámci Mirai, v rámci iniciativy pro těžbu kryptoměn. Předpokládá se, že operace probíhá minimálně od začátku roku 2023. NoaBot se může pochlubit funkcemi, jako je samorozšiřující se červ a backdoor klíče SSH, který umožňuje stahování a spouštění doplňkových binárních souborů nebo šíření na nové cíle.
Obsah
Miraiův kód se stále používá k vytváření nového malwaru
Botnet Mirai je notoricky známý kmen malwaru, který se primárně zaměřuje na zařízení internetu věcí (IoT). Uvolnění zdrojového kódu umožnilo dalším škodlivým aktérům vytvářet vlastní verze malwaru, což vedlo k šíření botnetů založených na Mirai. Tato široká dostupnost zdrojového kódu přispěla ke zvýšení počtu a rozsahu útoků souvisejících s internetem věcí, což představuje značné problémy pro profesionály v oblasti kybernetické bezpečnosti a výrobce zařízení. Od jeho objevení se skutečně objevily četné varianty a vedlejší produkty botnetu Mirai, z nichž každá má své vlastní modifikace a vylepšení. Tyto varianty se často zaměřují na konkrétní zranitelnosti nebo se zaměřují na různé typy zařízení IoT. Některé z nechvalně známých botnetů založených na Mirai zahrnují Reaper, Satori a Okiru. Jedním z novějších botnetů, které využívají kód Mirai, je InfectedSlurs, který je schopen provádět útoky Distributed Denial-of-Service (DDoS).
Specifické vlastnosti botnetu NoaBot
Existují náznaky naznačující potenciální spojení mezi NoaBotem a jinou botnetovou kampaní spojenou s rodinou malwaru na bázi Rust s názvem P2PInfect. Tento konkrétní malware nedávno prošel aktualizací, aby se zaměřil na směrovače a zařízení internetu věcí (IoT). Základ tohoto spojení spočívá v pozorování, že aktéři hrozeb experimentovali s nahrazením P2PInfect za NoaBot v nedávných útocích na SSH servery, což naznačuje potenciální snahy o přechod na vlastní malware.
Navzdory tomu, že NoaBot má kořeny v Mirai, jeho modul spreader využívá SSH skener k identifikaci serverů zranitelných slovníkovými útoky, což mu umožňuje provádět pokusy hrubou silou. Následně malware přidá veřejný klíč SSH do souboru .ssh/authorized_keys a umožní tak vzdálený přístup. Volitelně může NoaBot stáhnout a spustit další binární soubory po úspěšném zneužití nebo se rozšířit na nové oběti.
Je pozoruhodné, že NoaBot je zkompilován s uClibc, což mění způsob, jakým bezpečnostní motory detekují malware. Zatímco ostatní varianty Mirai jsou obvykle identifikovány pomocí podpisu Mirai, antimalwarové podpisy NoaBot je kategorizují jako skener SSH nebo generický trojský kůň. Kromě použití taktiky mlžení ke zkomplikování analýzy, útočná sekvence nakonec vyvrcholí nasazením upravené verze mincovníku XMRig .
NoaBot je vybaven vylepšenými funkcemi zmatku
Co odlišuje tuto novou variantu od ostatních kampaní založených na botnetu Mirai , je její pozoruhodné vynechání informací týkajících se těžebního fondu nebo adresy peněženky. Tato absence způsobuje, že je obtížné změřit ziskovost nezákonné operace těžby kryptoměn.
Těžař podniká další opatření tím, že znejasňuje svou konfiguraci a využívá přizpůsobený těžební fond, čímž strategicky brání odhalení adresy peněženky. Tato úroveň připravenosti vykazovaná aktéry hrozeb odráží záměrné úsilí o zvýšení utajení a odolnosti jejich operace.
V současnosti výzkumníci v oblasti kybernetické bezpečnosti identifikovali 849 IP adres obětí roztroušených po celém světě, přičemž významné koncentrace byly zaznamenány v Číně. Ve skutečnosti tyto incidenty tvoří téměř 10 % všech útoků proti honeypotům v roce 2023, což podtrhuje globální dosah a dopad této konkrétní varianty.
