NoaBot-bottiverkko
Uhkatoimijat ovat käyttäneet krypto-louhintaaloitteessa äskettäin syntynyttä NoaBot-nimistä botnet-verkkoa, joka perustuu Mirai-kehykseen. Toiminnan uskotaan olleen käynnissä ainakin vuoden 2023 alusta. NoaBotissa on ominaisuuksia, kuten itsestään leviävä mato ja SSH-avaintakaovi, jotka mahdollistavat lisäbinaarien lataamisen ja suorittamisen tai leviämisen uusiin kohteisiin.
Sisällysluettelo
Mirain koodia käytetään edelleen uusien haittaohjelmien luomiseen
Mirai-botnet on pahamaineinen haittaohjelmakanta, joka kohdistuu ensisijaisesti Internet of Things (IoT) -laitteisiin. Lähdekoodin julkaisu mahdollisti muut haitalliset toimijat luoda omia versioita haittaohjelmista, mikä johti Mirai-pohjaisten bottiverkkojen yleistymiseen. Tämä lähdekoodin laaja saatavuus lisäsi IoT:hen liittyvien hyökkäysten määrää ja laajuutta, mikä asetti merkittäviä haasteita kyberturvallisuuden ammattilaisille ja laitevalmistajille. Todellakin, Mirai-botnetistä on syntynyt lukuisia muunnelmia ja sivuvaikutuksia sen löytämisen jälkeen, joista jokaisella on omat muunnelmansa ja parannuksensa. Nämä versiot kohdistuvat usein tiettyihin haavoittuvuuksiin tai keskittyvät erityyppisiin IoT-laitteisiin. Joitakin surullisen kuuluisia Mirai-pohjaisia bottiverkkoja ovat Reaper, Satori ja Okiru. Yksi uusimmista, Mirain koodia käyttävistä robottiverkoista on InfectedSlurs, joka pystyy suorittamaan hajautettuja palvelunestohyökkäyksiä (DDoS).
NoaBot-bottiverkon erityisominaisuudet
On viitteitä, jotka viittaavat mahdolliseen yhteyteen NoaBotin ja toisen botnet-kampanjan välillä, joka liittyy Rust-pohjaiseen haittaohjelmaperheeseen nimeltä P2PInfect. Tämä haittaohjelma päivitettiin äskettäin keskittymään reitittimiin ja esineiden Internet (IoT) -laitteisiin. Tämän yhteyden perustana on havainto, että uhkatoimijat ovat kokeilleet P2PInfectin korvaamista NoaBotilla viimeaikaisissa SSH-palvelimiin kohdistuvissa hyökkäyksissä, mikä viittaa mahdollisiin pyrkimyksiin siirtyä mukautettuihin haittaohjelmiin.
Vaikka NoaBot on juurtunut Miraihin, sen levitysmoduuli käyttää SSH-skanneria tunnistamaan sanakirjahyökkäyksille alttiin palvelimet, mikä mahdollistaa raa'an voiman yrityksiä. Tämän jälkeen haittaohjelma lisää julkisen SSH-avaimen .ssh/authorized_keys-tiedostoon mahdollistaen etäkäytön. Valinnaisesti NoaBot voi ladata ja suorittaa lisää binaareja onnistuneen hyväksikäytön jälkeen tai levittää itsensä uusille uhreille.
Erityisesti NoaBot on käännetty uClibc:n kanssa, mikä muuttaa tapaa, jolla suojauskoneet havaitsevat haittaohjelman. Vaikka muut Mirai-versiot tunnistetaan yleensä Mirai-allekirjoituksen avulla, NoaBotin haittaohjelmien torjuntaan perustuvat allekirjoitukset luokittelevat sen SSH-skanneriksi tai yleiseksi troijalaiseksi. Sen lisäksi, että käytetään hämärätaktiikoita analyysin vaikeuttamiseen, hyökkäysjakso huipentuu lopulta XMRig- kolikkokaivoskoneen modifioidun version käyttöönottoon.
NoaBot on varustettu parannetuilla hämärtymisominaisuuksilla
Se, mikä erottaa tämän uuden muunnelman muista Mirai- botnet-pohjaisista kampanjoista, on sen huomattava kaivospoolia tai lompakon osoitetta koskevien tietojen puuttuminen. Tämä poissaolo tekee laittoman kryptovaluutan louhintatoiminnan kannattavuuden mittaamisesta haastavaa.
Kaivosmies ryhtyy lisävarotoimiin hämärtämällä kokoonpanonsa ja käyttämällä räätälöityä kaivospoolia, mikä estää strategisesti lompakon osoitteen paljastamisen. Tämä uhkatoimijoiden osoittama valmiusaste heijastaa tarkoituksellista pyrkimystä parantaa heidän toimintansa varkautta ja joustavuutta.
Tähän mennessä kyberturvallisuustutkijat ovat tunnistaneet 849 uhrin IP-osoitetta hajallaan ympäri maailmaa, ja merkittäviä keskittymiä on havaittu Kiinassa. Itse asiassa nämä tapaukset muodostavat lähes 10 % kaikista hunajaruukkuja vastaan tehdyistä hyökkäyksistä vuonna 2023, mikä korostaa tämän muunnelman maailmanlaajuista kattavuutta ja vaikutusta.
