„NoaBot“ robotų tinklas
Grėsmių dalyviai kriptovaliutų gavybos iniciatyvoje panaudojo naujai atsiradusį botnetą, pavadintą NoaBot, kuris sukurtas remiantis Mirai sistema. Manoma, kad operacija tęsiasi mažiausiai nuo 2023 m. pradžios. „NoaBot“ gali pasigirti tokiomis funkcijomis kaip savaime plintantis kirminas ir SSH rakto užpakalinės durys, leidžiančios atsisiųsti ir vykdyti papildomus dvejetainius failus arba perkelti į naujus taikinius.
Turinys
Mirai kodas vis dar naudojamas kuriant naują kenkėjišką programą
„Mirai“ botnetas yra liūdnai pagarsėjusi kenkėjiškų programų atmaina, pirmiausia nukreipta į daiktų interneto (IoT) įrenginius. Išleidus šaltinio kodą, kiti kenkėjiški veikėjai galėjo sukurti savo kenkėjiškos programos versijas, todėl „Mirai“ pagrindu veikiantys robotų tinklai išplito. Šis plačiai paplitęs šaltinio kodo prieinamumas prisidėjo prie su daiktų internetu susijusių atakų skaičiaus ir masto padidėjimo, todėl kibernetinio saugumo specialistams ir įrenginių gamintojams kilo didelių iššūkių. Iš tiesų, po jo atradimo atsirado daugybė „Mirai botneto“ variantų ir papildomų variantų, kurių kiekvienas turi savo modifikacijų ir patobulinimų. Šie variantai dažnai nukreipti į konkrečius pažeidžiamumus arba sutelkti dėmesį į skirtingų tipų daiktų interneto įrenginius. Kai kurie iš liūdnai pagarsėjusių „Mirai“ pagrindu sukurtų robotų tinklų yra „Reaper“, „Satori“ ir „Okiru“. Vienas iš naujesnių robotų tinklų, naudojančių „Mirai“ kodą, yra „InfectedSlurs“, galintis vykdyti paskirstytas paslaugų atsisakymo (DDoS) atakas.
Specifinės „NoaBot Botnet“ charakteristikos
Yra požymių, rodančių galimą ryšį tarp „NoaBot“ ir kitos „botnet“ kampanijos, susijusios su „Rust“ pagrindu veikiančia kenkėjiškų programų šeima „P2PInfect“. Ši konkreti kenkėjiška programa neseniai buvo atnaujinta, siekiant sutelkti dėmesį į maršrutizatorius ir daiktų interneto (IoT) įrenginius. Šio ryšio pagrindas slypi pastebėjime, kad grėsmės veikėjai neseniai išpuolių prieš SSH serverius metu eksperimentavo pakeisdami P2PInfect vietoj NoaBot, nurodydami galimas pastangas pereiti prie tinkintos kenkėjiškos programos.
Nepaisant to, kad NoaBot yra įsišaknijęs Mirai, jo platinimo modulis naudoja SSH skaitytuvą, kad nustatytų serverius, pažeidžiamus žodyno atakų, todėl jis gali atlikti žiaurios jėgos bandymus. Vėliau kenkėjiška programa į .ssh/authorized_keys failą prideda viešąjį SSH raktą, įgalindama nuotolinę prieigą. Pasirinktinai NoaBot gali atsisiųsti ir vykdyti papildomų dvejetainių failų po sėkmingo išnaudojimo arba skleisti save naujoms aukoms.
Pažymėtina, kad „NoaBot“ yra sudarytas su „uClibc“, keičiantis, kaip saugos varikliai aptinka kenkėjiškas programas. Nors kiti „Mirai“ variantai paprastai identifikuojami naudojant „Mirai“ parašą, „NoaBot“ apsaugos nuo kenkėjiškų programų parašai jį priskiria SSH skaitytuvui arba bendriesiems Trojos arkliams. Be to, kad analizei apsunkinti naudojama užtemdymo taktika, atakų seka galiausiai baigiasi modifikuotos XMRig monetų kasyklos versijos diegimu.
„NoaBot“ aprūpintas patobulintomis užtemdymo funkcijomis
Šis naujas variantas išsiskiria iš kitų „Mirai botnetu“ pagrįstų kampanijų, nes jame nepateikiama informacija, susijusi su kasybos baseinu arba piniginės adresu. Dėl šio nebuvimo sunku įvertinti neteisėtos kriptovaliutos kasybos operacijos pelningumą.
Kalnakasys imasi papildomų atsargumo priemonių, užtemdydamas savo konfigūraciją ir naudodamas pritaikytą kasybos telkinį, strategiškai užkirsdamas kelią piniginės adreso atskleidimui. Toks pasirengimo lygis, kurį demonstruoja grėsmės veikėjai, atspindi sąmoningas pastangas sustiprinti jų veiklos slaptumą ir atsparumą.
Šiuo metu kibernetinio saugumo tyrėjai nustatė 849 aukų IP adresus, išsibarsčiusius visame pasaulyje, o didelė koncentracija buvo pastebėta Kinijoje. Tiesą sakant, šie incidentai sudaro beveik 10 % visų išpuolių prieš medaus puodus 2023 m., o tai pabrėžia pasaulinį šio konkretaus varianto mastą ir poveikį.
