NoaBot Botnet
Akteri prijetnji upotrijebili su novonastali botnet pod nazivom NoaBot, koji je izgrađen na okviru Mirai, u inicijativi za kripto rudarenje. Vjeruje se da je operacija u tijeku barem od početka 2023. NoaBot se može pohvaliti značajkama kao što su crv koji se sam širi i SSH ključ backdoor, omogućujući preuzimanje i izvođenje dodatnih binarnih datoteka ili širenje na nove ciljeve.
Sadržaj
Miraijev kod još uvijek se koristi za stvaranje novog zlonamjernog softvera
Mirai botnet je notorna vrsta zlonamjernog softvera koja prvenstveno cilja na uređaje Interneta stvari (IoT). Objavljivanje izvornog koda omogućilo je drugim zlonamjernim akterima stvaranje vlastitih verzija zlonamjernog softvera, što je dovelo do proliferacije botneta temeljenih na Miraiju. Ova rasprostranjena dostupnost izvornog koda pridonijela je povećanju broja i razmjera napada povezanih s internetom stvari, postavljajući značajne izazove stručnjacima za kibernetičku sigurnost i proizvođačima uređaja. Uistinu, od njegovog otkrića pojavile su se brojne varijante i ogranci botneta Mirai, svaka sa svojim modifikacijama i poboljšanjima. Ove varijante često ciljaju na određene ranjivosti ili se fokusiraju na različite vrste IoT uređaja. Neki od zloglasnih botneta temeljenih na Miraiju uključuju Reaper, Satori i Okiru. Jedan od novijih botneta koji koriste Miraijev kod je InfectedSlurs, koji je sposoban izvesti napade distribuiranog uskraćivanja usluge (DDoS).
Specifične karakteristike NoaBot Botneta
Postoje indikacije koje upućuju na potencijalnu vezu između NoaBota i druge botnet kampanje povezane s obitelji zlonamjernih programa temeljenih na Rustu pod nazivom P2PInfect. Ovaj određeni zlonamjerni softver nedavno je prošao ažuriranje kako bi se usredotočio na usmjerivače i uređaje Interneta stvari (IoT). Osnova za ovu vezu leži u zapažanju da su akteri prijetnji eksperimentirali sa zamjenom P2PInfecta za NoaBot u nedavnim napadima na SSH poslužitelje, nagovještavajući potencijalne napore prijelaza na prilagođeni malware.
Unatoč tome što je NoaBot ukorijenjen u Miraiju, njegov modul za širenje koristi SSH skener za identifikaciju poslužitelja koji su ranjivi na napade rječnikom, što mu omogućuje izvođenje pokušaja grube sile. Nakon toga zlonamjerni softver dodaje SSH javni ključ u datoteku .ssh/authorized_keys, omogućujući daljinski pristup. Opcionalno, NoaBot može preuzeti i izvršiti dodatne binarne datoteke nakon uspješnog iskorištavanja ili se propagirati novim žrtvama.
Naime, NoaBot je kompiliran s uClibc-om, mijenjajući način na koji sigurnosni mehanizmi otkrivaju zlonamjerni softver. Dok se druge Mirai varijante obično identificiraju pomoću Mirai potpisa, NoaBot anti-malware potpisi ga kategoriziraju kao SSH skener ili generički trojanac. Uz korištenje taktike zamagljivanja radi kompliciranja analize, sekvenca napada u konačnici kulminira uvođenjem modificirane verzije XMRig rudara novčića.
NoaBot je opremljen poboljšanim značajkama maskiranja
Ono što ovu novu varijantu razlikuje od drugih kampanja temeljenih na Mirai botnet-u je značajno izostavljanje informacija koje se odnose na adresu rudarskog bazena ili novčanika. Ova odsutnost čini procjenu profitabilnosti nezakonite operacije rudarenja kriptovalute izazovnom.
Rudar poduzima dodatne mjere opreza prikrivanjem svoje konfiguracije i korištenjem prilagođenog bazena za rudarenje, strateški sprječavajući otkrivanje adrese novčanika. Ova razina spremnosti koju su pokazali akteri prijetnje odražava namjerni napor da se poboljša tajnost i otpornost njihove operacije.
Do sada su istraživači kibernetičke sigurnosti identificirali 849 žrtvinih IP adresa razasutih diljem svijeta, sa značajnim koncentracijama zabilježenim u Kini. Zapravo, ti incidenti čine gotovo 10% svih napada na honeypots u 2023., naglašavajući globalni doseg i utjecaj ove posebne varijante.
