NoaBot Botnet

بازیگران تهدید از یک بات نت جدید به نام NoaBot استفاده کرده اند که بر اساس چارچوب Mirai ساخته شده است و در یک ابتکار استخراج ارز دیجیتال است. اعتقاد بر این است که این عملیات حداقل از ابتدای سال 2023 ادامه داشته است. NoaBot دارای ویژگی هایی مانند کرم خودگستر و درب پشتی کلید SSH است که امکان دانلود و اجرای باینری های تکمیلی یا انتشار به اهداف جدید را فراهم می کند.

کد Mirai هنوز برای ایجاد بدافزار جدید استفاده می شود

بات نت Mirai یک نوع بدافزار بدنام است که در درجه اول دستگاه های اینترنت اشیا (IoT) را هدف قرار می دهد. انتشار کد منبع، سایر عوامل مخرب را قادر ساخت تا نسخه‌های خود را از بدافزار ایجاد کنند که منجر به گسترش بات‌نت‌های مبتنی بر Mirai شد. این در دسترس بودن گسترده کد منبع به افزایش تعداد و مقیاس حملات مرتبط با اینترنت اشیا کمک کرد و چالش‌های مهمی را برای متخصصان امنیت سایبری و سازندگان دستگاه ایجاد کرد. در واقع، انواع مختلفی از بات‌نت Mirai از زمان کشف آن پدید آمده‌اند که هر کدام تغییرات و پیشرفت‌های خاص خود را دارند. این گونه‌ها اغلب آسیب‌پذیری‌های خاصی را هدف قرار می‌دهند یا بر روی انواع مختلف دستگاه‌های IoT تمرکز می‌کنند. برخی از بات نت های بدنام مبتنی بر Mirai عبارتند از Reaper، Satori و Okiru. یکی از جدیدترین بات‌نت‌هایی که از کد Mirai استفاده می‌کند، InfectedSlurs است که می‌تواند حملات انکار سرویس توزیع شده (DDoS) را انجام دهد.

ویژگی های خاص بات نت NoaBot

نشانه هایی وجود دارد که نشان می دهد ارتباط بالقوه ای بین NoaBot و کمپین بات نت دیگری مرتبط با خانواده بدافزار مبتنی بر Rust به نام P2PInfect وجود دارد. این بدافزار خاص اخیراً تحت یک به‌روزرسانی قرار گرفت تا بر روی روترها و دستگاه‌های اینترنت اشیا (IoT) تمرکز کند. اساس این ارتباط در این مشاهده نهفته است که عوامل تهدید با جایگزین کردن P2PInfect به جای NoaBot در حملات اخیر به سرورهای SSH، به تلاش‌های بالقوه برای انتقال به بدافزار سفارشی اشاره کرده‌اند.

علیرغم اینکه NoaBot در Mirai ریشه دارد، ماژول پخش کننده آن از یک اسکنر SSH برای شناسایی سرورهای آسیب پذیر در برابر حملات فرهنگ لغت استفاده می کند و به آن اجازه می دهد تا تلاش های brute-force را انجام دهد. متعاقباً، بدافزار یک کلید عمومی SSH را به فایل .ssh/authorized_keys اضافه می کند و دسترسی از راه دور را امکان پذیر می کند. به صورت اختیاری، NoaBot می‌تواند پس از بهره‌برداری موفقیت‌آمیز، باینری‌های اضافی را دانلود و اجرا کند یا خود را به قربانیان جدید منتشر کند.

نکته قابل توجه، NoaBot با uClibc کامپایل شده است و نحوه تشخیص بدافزار توسط موتورهای امنیتی را تغییر می دهد. در حالی که سایر انواع Mirai معمولاً با استفاده از امضای Mirai شناسایی می شوند، امضاهای ضد بدافزار NoaBot آن را به عنوان یک اسکنر SSH یا یک تروجان عمومی دسته بندی می کنند. علاوه بر استفاده از تاکتیک‌های مبهم سازی برای پیچیده‌تر کردن تحلیل، توالی حمله در نهایت با استقرار نسخه اصلاح‌شده استخراج‌کننده سکه XMRig به اوج خود می‌رسد.

NoaBot به ویژگی های مبهم سازی پیشرفته مجهز شده است

چیزی که این نوع جدید را از سایر کمپین های مبتنی بر بات نت Mirai متمایز می کند، حذف قابل توجه آن از اطلاعات مربوط به استخر استخراج یا آدرس کیف پول است. این عدم وجود، سنجش سودآوری عملیات استخراج غیرقانونی ارز دیجیتال را به چالش می‌کشد.

ماینر با مبهم کردن پیکربندی و استفاده از یک استخر استخراج سفارشی، اقدامات احتیاطی بیشتری را انجام می‌دهد و به طور استراتژیک از افشای آدرس کیف پول جلوگیری می‌کند. این سطح از آمادگی که توسط بازیگران تهدید به نمایش گذاشته می شود نشان دهنده تلاشی عمدی برای افزایش پنهان کاری و انعطاف پذیری عملیات آنهاست.

در حال حاضر، محققان امنیت سایبری 849 آدرس IP قربانی را شناسایی کرده‌اند که در سرتاسر جهان پراکنده شده‌اند و تمرکز قابل توجهی در چین مشاهده شده است. در واقع، این حوادث تقریباً 10٪ از تمام حملات علیه هانی پات ها در سال 2023 را تشکیل می دهند که بر گستره جهانی و تأثیر این نوع خاص تأکید می کند.