NoaBot Botnet

Οι φορείς απειλών έχουν χρησιμοποιήσει ένα νεοεμφανιζόμενο botnet με το όνομα NoaBot, το οποίο βασίζεται στο πλαίσιο Mirai, σε μια πρωτοβουλία εξόρυξης κρυπτονομισμάτων. Πιστεύεται ότι η λειτουργία βρίσκεται σε εξέλιξη τουλάχιστον από τις αρχές του 2023. Το NoaBot διαθέτει χαρακτηριστικά όπως ένα αυτοδιασκορπιζόμενο worm και μια κερκόπορτα κλειδιού SSH, που επιτρέπει τη λήψη και την εκτέλεση συμπληρωματικών δυαδικών αρχείων ή τη διάδοση σε νέους στόχους.

Ο κώδικας του Mirai εξακολουθεί να χρησιμοποιείται για τη δημιουργία νέου κακόβουλου λογισμικού

Το botnet Mirai είναι ένα διαβόητο είδος κακόβουλου λογισμικού που στοχεύει κυρίως συσκευές Διαδικτύου των πραγμάτων (IoT). Η κυκλοφορία του πηγαίου κώδικα επέτρεψε σε άλλους κακόβουλους παράγοντες να δημιουργήσουν τις δικές τους εκδόσεις του κακόβουλου λογισμικού, οδηγώντας σε πολλαπλασιασμό των botnet που βασίζονται στο Mirai. Αυτή η ευρεία διαθεσιμότητα του πηγαίου κώδικα συνέβαλε στην αύξηση του αριθμού και της κλίμακας των επιθέσεων που σχετίζονται με το IoT, θέτοντας σημαντικές προκλήσεις για τους επαγγελματίες της κυβερνοασφάλειας και τους κατασκευαστές συσκευών. Πράγματι, πολυάριθμες παραλλαγές και spin-offs του botnet Mirai έχουν εμφανιστεί από την ανακάλυψή του, το καθένα με τις δικές του τροποποιήσεις και βελτιώσεις. Αυτές οι παραλλαγές συχνά στοχεύουν συγκεκριμένα τρωτά σημεία ή επικεντρώνονται σε διαφορετικούς τύπους συσκευών IoT. Μερικά από τα περίφημα botnet που βασίζονται στο Mirai περιλαμβάνουν το Reaper, το Satori και το Okiru. Ένα από τα πιο πρόσφατα, botnet που χρησιμοποιούν τον κώδικα του Mirai είναι το InfectedSlurs, το οποίο είναι ικανό να πραγματοποιεί επιθέσεις Distributed Denial-of-Service (DDoS).

Ειδικά Χαρακτηριστικά του NoaBot Botnet

Υπάρχουν ενδείξεις που υποδηλώνουν πιθανή σύνδεση μεταξύ του NoaBot και μιας άλλης καμπάνιας botnet που σχετίζεται με μια οικογένεια κακόβουλου λογισμικού που βασίζεται σε Rust που ονομάζεται P2PInfect. Το συγκεκριμένο κακόβουλο λογισμικό υποβλήθηκε πρόσφατα σε ενημέρωση για να επικεντρωθεί στη στόχευση δρομολογητών και συσκευών Internet of Things (IoT). Η βάση για αυτή τη σύνδεση βρίσκεται στην παρατήρηση ότι οι φορείς απειλών έχουν πειραματιστεί με την υποκατάσταση του P2PInfect με το NoaBot σε πρόσφατες επιθέσεις σε διακομιστές SSH, υπονοώντας πιθανές προσπάθειες μετάβασης σε προσαρμοσμένο κακόβουλο λογισμικό.

Παρά το γεγονός ότι το NoaBot έχει ρίζες στο Mirai, η μονάδα διασποράς του χρησιμοποιεί έναν σαρωτή SSH για τον εντοπισμό διακομιστών που είναι ευάλωτοι σε επιθέσεις λεξικών, επιτρέποντάς του να διεξάγει προσπάθειες ωμής βίας. Στη συνέχεια, το κακόβουλο λογισμικό προσθέτει ένα δημόσιο κλειδί SSH στο αρχείο .ssh/authorized_keys, επιτρέποντας την απομακρυσμένη πρόσβαση. Προαιρετικά, το NoaBot μπορεί να κατεβάσει και να εκτελέσει επιπλέον δυαδικά αρχεία μετά από επιτυχή εκμετάλλευση ή να διαδοθεί σε νέα θύματα.

Συγκεκριμένα, το NoaBot έχει μεταγλωττιστεί με το uClibc, αλλάζοντας τον τρόπο με τον οποίο οι μηχανές ασφαλείας εντοπίζουν το κακόβουλο λογισμικό. Ενώ άλλες παραλλαγές Mirai προσδιορίζονται συνήθως χρησιμοποιώντας μια υπογραφή Mirai, οι υπογραφές κατά του κακόβουλου λογισμικού του NoaBot το κατηγοριοποιούν ως σαρωτή SSH ή ως γενικό Trojan. Εκτός από τη χρήση τακτικών συσκότισης για να περιπλέξει την ανάλυση, η ακολουθία επίθεσης καταλήγει τελικά στην ανάπτυξη μιας τροποποιημένης έκδοσης του εξορύκτη νομισμάτων XMRig .

Το NoaBot είναι εξοπλισμένο με βελτιωμένες λειτουργίες συσκότισης

Αυτό που ξεχωρίζει αυτή τη νέα παραλλαγή από άλλες καμπάνιες που βασίζονται σε botnet Mirai είναι η αξιοσημείωτη παράλειψη πληροφοριών που σχετίζονται με την πισίνα εξόρυξης ή τη διεύθυνση πορτοφολιού. Αυτή η απουσία καθιστά δύσκολη τη μέτρηση της κερδοφορίας της παράνομης λειτουργίας εξόρυξης κρυπτονομισμάτων.

Ο εξορύκτης λαμβάνει πρόσθετες προφυλάξεις θολώνοντας τη διαμόρφωσή του και χρησιμοποιώντας μια προσαρμοσμένη πισίνα εξόρυξης, αποτρέποντας στρατηγικά την έκθεση της διεύθυνσης του πορτοφολιού. Αυτό το επίπεδο ετοιμότητας που επιδεικνύεται από τους παράγοντες απειλών αντικατοπτρίζει μια σκόπιμη προσπάθεια να ενισχυθεί η μυστικότητα και η ανθεκτικότητα της λειτουργίας τους.

Μέχρι στιγμής, οι ερευνητές στον τομέα της κυβερνοασφάλειας έχουν εντοπίσει 849 διευθύνσεις IP θυμάτων διάσπαρτες σε όλο τον κόσμο, με σημαντικές συγκεντρώσεις να σημειώνονται στην Κίνα. Στην πραγματικότητα, αυτά τα περιστατικά αποτελούν σχεδόν το 10% όλων των επιθέσεων κατά honeypots το 2023, υπογραμμίζοντας την παγκόσμια εμβέλεια και τον αντίκτυπο αυτής της συγκεκριμένης παραλλαγής.