NoaBot Botnet
Aktor ancaman telah menggunakan botnet yang baru muncul bernama NoaBot, yang dibina berdasarkan rangka kerja Mirai, dalam inisiatif perlombongan kripto. Adalah dipercayai bahawa operasi itu telah berjalan sejak sekurang-kurangnya awal tahun 2023. NoaBot mempunyai ciri seperti cacing penyebaran sendiri dan pintu belakang kunci SSH, yang membolehkan muat turun dan pelaksanaan binari tambahan atau penyebaran ke sasaran baharu.
Isi kandungan
Kod Mirai Masih Digunakan untuk Penciptaan Perisian Hasad Baharu
Botnet Mirai ialah jenis perisian hasad terkenal yang menyasarkan peranti Internet Perkara (IoT). Pengeluaran kod sumber membolehkan pelakon berniat jahat lain mencipta versi perisian hasad mereka sendiri, yang membawa kepada percambahan botnet berasaskan Mirai. Ketersediaan kod sumber yang meluas ini menyumbang kepada peningkatan dalam bilangan dan skala serangan berkaitan IoT, yang menimbulkan cabaran besar kepada profesional keselamatan siber dan pengeluar peranti. Malah, banyak varian dan spin-off botnet Mirai telah muncul sejak penemuannya, masing-masing dengan pengubahsuaian dan peningkatannya sendiri. Varian ini sering menyasarkan kelemahan tertentu atau memfokuskan pada jenis peranti IoT yang berbeza. Beberapa botnet berasaskan Mirai yang terkenal termasuk Reaper, Satori dan Okiru. Salah satu botnet terbaru yang menggunakan kod Mirai ialah InfectedSlurs, yang mampu melakukan serangan Penafian Perkhidmatan (DDoS) Teragih.
Ciri-ciri Khusus Botnet NoaBot
Terdapat tanda-tanda yang mencadangkan kemungkinan sambungan antara NoaBot dan kempen botnet lain yang dikaitkan dengan keluarga perisian hasad berasaskan Rust yang dipanggil P2PInfect. Perisian hasad khusus ini baru-baru ini menjalani kemas kini untuk memfokuskan pada penghala penyasaran dan peranti Internet of Things (IoT). Asas untuk sambungan ini terletak pada pemerhatian bahawa pelaku ancaman telah bereksperimen dengan menggantikan P2PInfect untuk NoaBot dalam serangan baru-baru ini pada pelayan SSH, membayangkan potensi usaha untuk beralih kepada perisian hasad tersuai.
Walaupun NoaBot berakar umbi dalam Mirai, modul penyebarnya menggunakan pengimbas SSH untuk mengenal pasti pelayan yang terdedah kepada serangan kamus, membolehkannya melakukan percubaan kekerasan. Selepas itu, perisian hasad menambah kunci awam SSH pada fail .ssh/authorized_keys, membolehkan akses jauh. Secara pilihan, NoaBot boleh memuat turun dan melaksanakan binari tambahan berikutan eksploitasi yang berjaya atau menyebarkan dirinya kepada mangsa baharu.
Terutama, NoaBot disusun dengan uClibc, mengubah cara enjin keselamatan mengesan perisian hasad. Walaupun varian Mirai lain biasanya dikenal pasti menggunakan tandatangan Mirai, tandatangan anti-malware NoaBot mengkategorikannya sebagai pengimbas SSH atau Trojan generik. Selain menggunakan taktik pengeliruan untuk merumitkan analisis, urutan serangan akhirnya memuncak dalam penggunaan versi pengubahsuaian pelombong syiling XMRig .
NoaBot Dilengkapi Dengan Ciri Obfuscation yang Dipertingkatkan
Apa yang membezakan varian baharu ini daripada kempen berasaskan botnet Mirai yang lain ialah peninggalannya yang ketara terhadap maklumat yang berkaitan dengan kumpulan perlombongan atau alamat dompet. Ketiadaan ini menyebabkan ia mencabar untuk mengukur keuntungan operasi perlombongan mata wang kripto haram.
Penambang mengambil langkah berjaga-jaga tambahan dengan mengaburkan konfigurasinya dan menggunakan kolam perlombongan tersuai, secara strategik menghalang pendedahan alamat dompet. Tahap kesediaan yang dipamerkan oleh pelaku ancaman ini mencerminkan usaha yang disengajakan untuk meningkatkan keheningan dan daya tahan operasi mereka.
Setakat ini, penyelidik keselamatan siber telah mengenal pasti 849 alamat IP mangsa yang bertaburan di seluruh dunia, dengan kepekatan ketara dicatatkan di China. Malah, insiden ini membentuk hampir 10% daripada semua serangan terhadap honeypots pada tahun 2023, menggariskan jangkauan global dan kesan varian khusus ini.
