NoaBot botnet
A fenyegetés szereplői egy újonnan megjelent, NoaBot nevű botnetet alkalmaztak, amely a Mirai keretrendszerre épül egy kriptobányászati kezdeményezésben. Úgy gondolják, hogy a művelet legalább 2023 eleje óta folyamatban van. A NoaBot olyan funkciókkal büszkélkedhet, mint egy önterjedő féreg és egy SSH-kulcsos hátsó ajtó, amely lehetővé teszi a kiegészítő binárisok letöltését és végrehajtását, vagy a terjesztést friss célokra.
Tartalomjegyzék
A Mirai kódját továbbra is új rosszindulatú programok létrehozására használják
A Mirai botnet egy hírhedt rosszindulatú program, amely elsősorban az Internet of Things (IoT) eszközöket célozza meg. A forráskód kiadása lehetővé tette más rosszindulatú szereplők számára, hogy létrehozzák a kártevő saját verzióit, ami a Mirai-alapú botnetek elterjedéséhez vezetett. A forráskód ilyen széles körű elérhetősége hozzájárult az IoT-vel kapcsolatos támadások számának és mértékének növekedéséhez, jelentős kihívások elé állítva a kiberbiztonsági szakembereket és az eszközgyártókat. Valójában a Mirai botnet számos változata és mellékterméke jelent meg felfedezése óta, mindegyiknek megvan a maga módosítása és továbbfejlesztése. Ezek a változatok gyakran konkrét sebezhetőségeket céloznak meg, vagy különböző típusú IoT-eszközökre összpontosítanak. A hírhedt Mirai-alapú botnetek közé tartozik a Reaper, a Satori és az Okiru. Az egyik legújabb, Mirai kódját használó botnet az InfectedSlurs, amely képes elosztott szolgáltatásmegtagadási (DDoS) támadások végrehajtására.
A NoaBot botnet sajátos jellemzői
Vannak arra utaló jelek, hogy lehetséges kapcsolat lehet a NoaBot és egy másik botnet kampány között, amely a P2PInfect nevű Rust-alapú rosszindulatú programcsaládhoz kapcsolódik. Ez a rosszindulatú program a közelmúltban frissítésen esett át, hogy az útválasztókra és a tárgyak internete (IoT) eszközökre összpontosítson. Ennek az összefüggésnek az alapja abban a megfigyelésben rejlik, hogy a fenyegetés szereplői kísérleteztek a P2PInfect helyettesítésével a NoaBot-tal az SSH-kiszolgálók elleni közelmúltbeli támadásokban, utalva az egyéni rosszindulatú programokra való átállás lehetséges erőfeszítéseire.
Annak ellenére, hogy a NoaBot a Miraiban gyökerezik, a terjesztési modulja SSH-szkennert alkalmaz a szótári támadásoknak kitett szerverek azonosítására, lehetővé téve a brute force kísérletek végrehajtását. Ezt követően a kártevő hozzáad egy nyilvános SSH-kulcsot az .ssh/authorized_keys fájlhoz, lehetővé téve a távoli hozzáférést. Opcionálisan a NoaBot további bináris fájlokat tölthet le és futtathat a sikeres kihasználás után, vagy továbbadhatja magát új áldozatoknak.
Nevezetesen, a NoaBot az uClibc-vel van összeállítva, ami megváltoztatja azt, ahogy a biztonsági motorok észlelik a rosszindulatú programokat. Míg a többi Mirai-változatot általában Mirai-aláírással azonosítják, a NoaBot kártevő-ellenes szignatúrája SSH-szkennerként vagy általános trójaiként sorolja be. Amellett, hogy elhomályosító taktikát alkalmaznak az elemzés bonyolítására, a támadássorozat végül az XMRig érmebányász módosított változatának bevetésében csúcsosodik ki.
A NoaBot továbbfejlesztett obfuszkációs funkciókkal van felszerelve
Ami ezt az új változatot különbözteti meg a többi Mirai botnet-alapú kampánytól, az az, hogy figyelmen kívül hagyja a bányászati készletre vagy a pénztárca címére vonatkozó információkat. Ez a hiány megnehezíti az illegális kriptovaluta bányászati műveletek jövedelmezőségének felmérését.
A bányász további óvintézkedéseket tesz azáltal, hogy elhomályosítja konfigurációját, és testreszabott bányászati készletet használ, stratégiailag megakadályozva a pénztárca címének felfedését. A fenyegetés szereplői által tanúsított felkészültségnek ez a szintje azt a szándékos erőfeszítést tükrözi, hogy fokozzák működésük rejtettségét és rugalmasságát.
Jelenleg a kiberbiztonsági kutatók 849 áldozat IP-címét azonosították világszerte szétszórtan, és jelentős koncentrációt figyeltek meg Kínában. Valójában ezek az incidensek teszik ki a mézesedények elleni támadások közel 10%-át 2023-ban, ami aláhúzza ennek a változatnak a globális hatókörét és hatását.
