NoaBot-botnet
Bedreigingsactoren hebben een nieuw opduikend botnet met de naam NoaBot, dat is gebouwd op het Mirai-framework, ingezet in een crypto-mining-initiatief. Er wordt aangenomen dat de operatie al sinds begin 2023 aan de gang is. NoaBot beschikt over functies zoals een zichzelf verspreidende worm en een SSH-sleutelachterdeur, die het downloaden en uitvoeren van aanvullende binaire bestanden of de verspreiding naar nieuwe doelen mogelijk maakt.
Inhoudsopgave
De code van Mirai wordt nog steeds gebruikt voor het maken van nieuwe malware
Het Mirai-botnet is een beruchte malwaresoort die zich voornamelijk richt op Internet of Things (IoT)-apparaten. Door het vrijgeven van de broncode konden andere kwaadwillende actoren hun eigen versies van de malware maken, wat leidde tot een wildgroei aan op Mirai gebaseerde botnets. Deze wijdverspreide beschikbaarheid van de broncode heeft bijgedragen aan een toename van het aantal en de omvang van IoT-gerelateerde aanvallen, wat aanzienlijke uitdagingen met zich meebracht voor cyberbeveiligingsprofessionals en apparaatfabrikanten. Sinds de ontdekking ervan zijn er talloze varianten en spin-offs van het Mirai-botnet ontstaan, elk met zijn eigen aanpassingen en verbeteringen. Deze varianten richten zich vaak op specifieke kwetsbaarheden of richten zich op verschillende soorten IoT-apparaten. Enkele van de beruchte op Mirai gebaseerde botnets zijn Reaper, Satori en Okiru. Een van de recentere botnets die de code van Mirai gebruiken, is InfectedSlurs, dat in staat is Distributed Denial-of-Service (DDoS)-aanvallen uit te voeren.
Specifieke kenmerken van het NoaBot-botnet
Er zijn aanwijzingen die wijzen op een mogelijk verband tussen NoaBot en een andere botnetcampagne die verband houdt met een op Rust gebaseerde malwarefamilie genaamd P2PInfect. Deze specifieke malware heeft onlangs een update ondergaan om zich te concentreren op routers en Internet of Things (IoT)-apparaten. De basis voor dit verband ligt in de observatie dat bedreigingsactoren hebben geëxperimenteerd met het vervangen van NoaBot door P2PInfect bij recente aanvallen op SSH-servers, wat duidt op mogelijke pogingen om over te stappen op aangepaste malware.
Ondanks dat NoaBot zijn oorsprong vindt in Mirai, maakt de spreadermodule gebruik van een SSH-scanner om servers te identificeren die kwetsbaar zijn voor woordenboekaanvallen, waardoor het brute force-pogingen kan uitvoeren. Vervolgens voegt de malware een openbare SSH-sleutel toe aan het .ssh/authorized_keys-bestand, waardoor externe toegang mogelijk wordt. Optioneel kan NoaBot na succesvolle exploitatie aanvullende binaire bestanden downloaden en uitvoeren, of zichzelf verspreiden naar nieuwe slachtoffers.
NoaBot is met name gecompileerd met uClibc, waardoor de manier waarop beveiligingsengines de malware detecteren, verandert. Terwijl andere Mirai-varianten doorgaans worden geïdentificeerd met behulp van een Mirai-handtekening, categoriseren de anti-malware-handtekeningen van NoaBot het als een SSH-scanner of een generiek Trojaans paard. Naast het gebruik van verduisteringstactieken om de analyse te bemoeilijken, culmineert de aanvalsreeks uiteindelijk in de inzet van een aangepaste versie van de XMRig- muntmijnwerker.
NoaBot is uitgerust met verbeterde verduisteringsfuncties
Wat deze nieuwe variant onderscheidt van andere op het Mirai -botnet gebaseerde campagnes, is de opmerkelijke weglating van informatie met betrekking tot de miningpool of het portemonnee-adres. Deze afwezigheid maakt het een uitdaging om de winstgevendheid van de illegale cryptocurrency-mijnbouw te meten.
De mijnwerker neemt aanvullende voorzorgsmaatregelen door de configuratie ervan te verdoezelen en een aangepaste mijnbouwpool te gebruiken, waardoor op strategische wijze de openbaarmaking van het portemonnee-adres wordt voorkomen. Dit niveau van paraatheid van de dreigingsactoren weerspiegelt een doelbewuste poging om de stealth en veerkracht van hun operatie te vergroten.
Tot nu toe hebben cyberbeveiligingsonderzoekers 849 IP-adressen van slachtoffers geïdentificeerd, verspreid over de hele wereld, met aanzienlijke concentraties in China. In feite vormen deze incidenten bijna 10% van alle aanvallen op honeypots in 2023, wat het wereldwijde bereik en de impact van deze specifieke variant onderstreept.
