NoaBot Botnet

שחקני איומים השתמשו ברשת בוט חדשה בשם NoaBot, הבנויה על מסגרת Mirai, ביוזמת כריית קריפטו. מאמינים כי הפעולה נמשכת לפחות מתחילת 2023. NoaBot מתגאה בתכונות כגון תולעת המתפשטת מעצמה ודלת אחורית של מפתח SSH, המאפשרות הורדה וביצוע של קבצים בינאריים משלימים או הפצה ליעדים חדשים.

הקוד של Mirai עדיין נמצא בשימוש ליצירת תוכנות זדוניות חדשות

הבוטנט Mirai הוא זן תוכנות זדוניות ידוע לשמצה המכוון בעיקר למכשירי האינטרנט של הדברים (IoT). שחרורו של קוד המקור אפשר לשחקנים זדוניים אחרים ליצור גרסאות משלהם של התוכנה הזדונית, מה שהוביל להתרבות של רשתות בוטים מבוססות Mirai. הזמינות הנרחבת הזו של קוד המקור תרמה לגידול במספר ובהיקף של התקפות הקשורות ל-IoT, והציבה אתגרים משמעותיים לאנשי אבטחת סייבר ויצרני מכשירים. ואכן, גרסאות רבות וספין-אוף של הבוטנט Mirai הופיעו מאז גילויו, כל אחד עם השינויים והשיפורים שלו. גרסאות אלו מתמקדות לרוב בפרצות ספציפיות או מתמקדות בסוגים שונים של מכשירי IoT. חלק מהבוטנטים הידועים לשמצה המבוססים על מיראי כוללים את ריפר, סאטורי ואוקירו. אחת מהרשתות הבוטות העדכניות יותר המשתמשות בקוד של Mirai היא InfectedSlurs, המסוגלת לבצע התקפות מניעת שירות מבוזרות (DDoS).

מאפיינים ספציפיים של NoaBot Botnet

ישנן אינדיקציות המצביעות על קשר פוטנציאלי בין NoaBot למסע פרסום בוטנט אחר הקשור למשפחת תוכנות זדוניות מבוססות Rust בשם P2PInfect. התוכנה הזדונית הספציפית הזו עברה לאחרונה עדכון כדי להתמקד במיקוד לנתבים ומכשירי האינטרנט של הדברים (IoT). הבסיס לחיבור זה טמון בהתבוננות שגורמי איומים התנסו בהחלפת P2PInfect עבור NoaBot בהתקפות האחרונות על שרתי SSH, מה שמרמז על מאמצים אפשריים לעבור לתוכנות זדוניות מותאמות אישית.

למרות ש-NoaBot מושרש ב-Mirai, מודול המפזר שלו משתמש בסורק SSH כדי לזהות שרתים הפגיעים להתקפות מילונים, ומאפשר לו לבצע ניסיונות בכוח גס. לאחר מכן, התוכנה הזדונית מוסיפה מפתח SSH ציבורי לקובץ .ssh/authorized_keys, מה שמאפשר גישה מרחוק. לחלופין, NoaBot יכול להוריד ולהפעיל קבצים בינאריים נוספים בעקבות ניצול מוצלח או להפיץ את עצמו לקורבנות חדשים.

יש לציין, NoaBot מורכב עם uClibc, ומשנה את האופן שבו מנועי אבטחה מזהים את התוכנה הזדונית. בעוד שגרסאות אחרות של Mirai מזוהות בדרך כלל באמצעות חתימת Mirai, החתימות של NoaBot נגד תוכנות זדוניות מקטלגות אותה כסורק SSH או כסורק טרויאני גנרי. בנוסף לשימוש בטקטיקות ערפול כדי לסבך את הניתוח, רצף ההתקפה מגיע בסופו של דבר לשיאו בפריסה של גרסה שונה של כורה המטבעות XMRig .

NoaBot מצויד בתכונות ערפול משופרות

מה שמייחד את הגרסה החדשה הזו מקמפיינים אחרים המבוססים על רשת Mirai הוא השמטת המידע הבולטת שלו הנוגעת למאגר הכרייה או לכתובת הארנק. היעדר זה מאתגר לאמוד את הרווחיות של פעולת הכרייה הבלתי חוקית של מטבעות קריפטוגרפיים.

הכורה נוקט באמצעי זהירות נוספים על ידי ערפול התצורה שלו ושימוש במאגר כרייה מותאם אישית, המונע אסטרטגית את חשיפת כתובת הארנק. רמת מוכנות זו שמפגינים גורמי האיום משקפת מאמץ מכוון לשפר את החמקניות והחוסן של פעולתם.

נכון לעכשיו, חוקרי אבטחת סייבר זיהו 849 כתובות IP של קורבנות הפזורות ברחבי העולם, עם ריכוזים משמעותיים שצוינו בסין. למעשה, תקריות אלו מהוות כמעט 10% מכלל ההתקפות נגד עציצי דבש בשנת 2023, מה שמדגיש את הטווח וההשפעה הגלובלית של הגרסה הספציפית הזו.