NoaBot Botnet

Trusselaktører har brukt et nyoppstått botnett ved navn NoaBot, som er bygget på Mirai-rammeverket, i et kryptogruve-initiativ. Det antas at operasjonen har pågått siden minst starten av 2023. NoaBot kan skryte av funksjoner som en selvspredende orm og en SSH-nøkkel bakdør, som muliggjør nedlasting og kjøring av supplerende binærfiler eller forplantning til nye mål.

Mirai sin kode blir fortsatt brukt for å lage ny skadelig programvare

Mirai-botnettet er en beryktet skadelig programvarestamme som først og fremst retter seg mot Internet of Things (IoT)-enheter. Utgivelsen av kildekoden gjorde det mulig for andre ondsinnede aktører å lage sine egne versjoner av skadelig programvare, noe som førte til en spredning av Mirai-baserte botnett. Denne utbredte tilgjengeligheten av kildekoden bidro til en økning i antallet og omfanget av IoT-relaterte angrep, og utgjorde betydelige utfordringer for cybersikkerhetseksperter og enhetsprodusenter. Faktisk har det dukket opp mange varianter og spin-offs av Mirai-botnettet siden det ble oppdaget, hver med sine egne modifikasjoner og forbedringer. Disse variantene retter seg ofte mot spesifikke sårbarheter eller fokuserer på forskjellige typer IoT-enheter. Noen av de beryktede Mirai-baserte botnettene inkluderer Reaper, Satori og Okiru. Et av de nyere botnettene som bruker Mirais kode er InfectedSlurs, som er i stand til å utføre DDoS-angrep (Distributed Denial-of-Service).

Spesifikke kjennetegn ved NoaBot Botnet

Det er indikasjoner som tyder på en potensiell forbindelse mellom NoaBot og en annen botnett-kampanje knyttet til en Rust-basert skadevarefamilie kalt P2PInfect. Denne spesielle skadevare gjennomgikk nylig en oppdatering for å fokusere på målretting mot rutere og Internet of Things (IoT)-enheter. Grunnlaget for denne forbindelsen ligger i observasjonen av at trusselaktører har eksperimentert med å erstatte P2PInfect med NoaBot i nylige angrep på SSH-servere, og antyder potensielle forsøk på å gå over til tilpasset skadelig programvare.

Til tross for at NoaBot er forankret i Mirai, bruker spredermodulen en SSH-skanner for å identifisere servere som er sårbare for ordbokangrep, slik at den kan utføre brute-force-forsøk. Deretter legger skadevaren til en offentlig SSH-nøkkel til .ssh/authorized_keys-filen, noe som muliggjør ekstern tilgang. Eventuelt kan NoaBot laste ned og kjøre flere binærfiler etter vellykket utnyttelse eller forplante seg til nye ofre.

Spesielt er NoaBot kompilert med uClibc, og endrer hvordan sikkerhetsmotorer oppdager skadelig programvare. Mens andre Mirai-varianter vanligvis identifiseres ved hjelp av en Mirai-signatur, kategoriserer NoaBots anti-malware-signaturer den som en SSH-skanner eller en generisk trojaner. I tillegg til å bruke tilsløringstaktikker for å komplisere analyse, kulminerer angrepssekvensen til slutt i utplasseringen av en modifisert versjon av XMRig- myntgruvearbeideren.

NoaBot er utstyrt med forbedrede obfuskeringsfunksjoner

Det som skiller denne nye varianten fra andre Mirai botnett-baserte kampanjer er dens bemerkelsesverdige utelatelse av informasjon knyttet til gruvebassenget eller lommebokadressen. Dette fraværet gjør det utfordrende å måle lønnsomheten til den ulovlige gruvedriften for kryptovaluta.

Gruvearbeideren tar ytterligere forholdsregler ved å skjule konfigurasjonen og bruke et tilpasset gruvebasseng, som strategisk forhindrer eksponering av lommebokadressen. Dette beredskapsnivået som utvises av trusselaktørene reflekterer en bevisst innsats for å øke snikheten og motstandskraften til deres operasjoner.

Per nå har cybersikkerhetsforskere identifisert 849 offer-IP-adresser spredt over hele verden, med betydelige konsentrasjoner notert i Kina. Faktisk utgjør disse hendelsene nesten 10 % av alle angrep mot honningpotter i 2023, noe som understreker den globale rekkevidden og virkningen av denne spesielle varianten.