노아봇 봇넷

위협 행위자들은 암호화폐 채굴 계획에서 Mirai 프레임워크를 기반으로 구축된 NoaBot이라는 새로 등장한 봇넷을 사용했습니다. 이 작업은 적어도 2023년 초부터 진행된 것으로 추정됩니다. NoaBot은 자체 확산 웜, SSH 키 백도어 등의 기능을 자랑하여 보조 바이너리를 다운로드 및 실행하거나 새로운 대상으로 전파할 수 있습니다.

Mirai의 코드는 여전히 새로운 악성 코드 생성에 사용되고 있습니다.

Mirai 봇넷은 주로 사물 인터넷(IoT) 장치를 표적으로 삼는 악명 높은 악성 코드 변종입니다. 소스 코드가 공개되면서 다른 악의적인 행위자가 자신만의 악성 코드 버전을 생성할 수 있게 되었고, 이로 인해 Mirai 기반 봇넷이 확산되었습니다. 이러한 소스 코드의 광범위한 가용성은 IoT 관련 공격의 수와 규모를 증가시켜 사이버 보안 전문가와 장치 제조업체에 심각한 과제를 안겨주었습니다. 실제로 Mirai 봇넷이 발견된 이후 수많은 변종과 파생물이 등장했으며 각 변종은 자체적으로 수정 및 개선되었습니다. 이러한 변종은 종종 특정 취약점을 표적으로 삼거나 다양한 유형의 IoT 장치에 중점을 둡니다. 악명 높은 Mirai 기반 봇넷으로는 Reaper, Satori 및 Okiru가 있습니다. Mirai의 코드를 활용하는 최신 봇넷 중 하나는 DDoS(분산 서비스 거부) 공격을 수행할 수 있는 InfectedSlurs입니다.

NoaBot 봇넷의 구체적인 특성

NoaBot과 P2PInfect라는 Rust 기반 악성 코드 계열과 관련된 다른 봇넷 캠페인 사이의 잠재적인 연결을 암시하는 징후가 있습니다. 이 특정 악성코드는 최근 라우터와 IoT(사물 인터넷) 장치를 표적으로 삼는 데 초점을 맞춘 업데이트를 거쳤습니다. 이 연결의 기초는 위협 행위자가 최근 SSH 서버에 대한 공격에서 NoaBot을 P2PInfect로 대체하는 실험을 했다는 관찰에 있으며 이는 맞춤형 악성 코드로 전환하려는 잠재적인 노력을 암시합니다.

NoaBot은 Mirai에 뿌리를 두고 있음에도 불구하고 해당 스프레더 모듈은 SSH 스캐너를 사용하여 사전 공격에 취약한 서버를 식별하여 무차별 공격을 수행할 수 있습니다. 이후 악성코드는 .ssh/authorized_keys 파일에 SSH 공개 키를 추가하여 원격 액세스를 활성화합니다. 선택적으로 NoaBot은 악용에 성공한 후 추가 바이너리를 다운로드하여 실행하거나 새로운 피해자에게 전파할 수 있습니다.

특히 NoaBot은 uClibc로 컴파일되어 보안 엔진이 악성 코드를 탐지하는 방식을 변경합니다. 다른 Mirai 변종은 일반적으로 Mirai 서명을 사용하여 식별되지만 NoaBot의 맬웨어 방지 서명은 이를 SSH 스캐너 또는 일반 트로이 목마로 분류합니다. 분석을 복잡하게 만들기 위해 난독화 전술을 사용하는 것 외에도 공격 순서는 궁극적으로 XMRig 코인 마이너의 수정된 버전을 배포하는 것으로 마무리됩니다.

NoaBot에는 향상된 난독화 기능이 탑재되어 있습니다

이 새로운 변종은 다른 Mirai 봇넷 기반 캠페인과 차별화되는 점은 채굴 풀이나 지갑 주소와 관련된 정보가 눈에 띄게 누락되어 있다는 것입니다. 이러한 부재로 인해 불법 암호화폐 채굴 작업의 수익성을 측정하기가 어려워졌습니다.

채굴자는 구성을 난독화하고 맞춤형 채굴 풀을 활용하여 지갑 주소 노출을 전략적으로 방지함으로써 추가적인 예방 조치를 취합니다. 위협 행위자가 보여주는 이러한 수준의 준비는 작전의 은밀성과 회복력을 강화하려는 의도적인 노력을 반영합니다.

현재 사이버 보안 연구원들은 전 세계에 흩어져 있는 849개의 피해자 IP 주소를 확인했으며, 특히 중국에 집중되어 있는 것으로 나타났습니다. 실제로 이러한 사고는 2023년 허니팟에 대한 모든 공격의 거의 10%를 차지하며, 이는 이 특정 변종의 전 세계적 도달 범위와 영향을 강조합니다.