Botnet NoaBot

Ugrupowania zagrażające wykorzystały nowo powstały botnet o nazwie NoaBot, zbudowany na platformie Mirai, w ramach inicjatywy wydobywania kryptowalut. Uważa się, że operacja trwa co najmniej od początku 2023 r. NoaBot może pochwalić się takimi funkcjami, jak samorozprzestrzeniający się robak i backdoor klucza SSH, umożliwiające pobieranie i wykonywanie dodatkowych plików binarnych lub propagację do nowych celów.

Kod Mirai jest nadal używany do tworzenia nowego złośliwego oprogramowania

Botnet Mirai to ciesząca się złą sławą odmiana złośliwego oprogramowania, której celem są przede wszystkim urządzenia Internetu rzeczy (IoT). Uwolnienie kodu źródłowego umożliwiło innym złośliwym podmiotom stworzenie własnych wersji szkodliwego oprogramowania, co doprowadziło do rozprzestrzeniania się botnetów opartych na Mirai. Ta powszechna dostępność kodu źródłowego przyczyniła się do wzrostu liczby i skali ataków związanych z IoT, stawiając istotne wyzwania przed specjalistami ds. cyberbezpieczeństwa i producentami urządzeń. Rzeczywiście, od czasu jego odkrycia pojawiło się wiele wariantów i odmian botnetu Mirai, każdy z własnymi modyfikacjami i udoskonaleniami. Warianty te często atakują określone luki w zabezpieczeniach lub koncentrują się na różnych typach urządzeń IoT. Niektóre z niesławnych botnetów opartych na Mirai to Reaper, Satori i Okiru. Jednym z nowszych botnetów wykorzystujących kod Mirai jest InfectedSlurs, który jest w stanie przeprowadzać ataki typu Distributed Denial-of-Service (DDoS).

Specyficzna charakterystyka botnetu NoaBot

Istnieją przesłanki sugerujące potencjalne powiązanie między NoaBotem a inną kampanią botnetu powiązaną z rodziną szkodliwego oprogramowania opartego na Rust o nazwie P2PInfect. To konkretne złośliwe oprogramowanie przeszło niedawno aktualizację mającą na celu skupienie się na routerach i urządzeniach Internetu rzeczy (IoT). Podstawą tego powiązania jest obserwacja, że ugrupowania zagrażające eksperymentowały z zastąpieniem P2PInfect zamiast NoaBot w ostatnich atakach na serwery SSH, co wskazuje na potencjalne wysiłki zmierzające do przejścia na niestandardowe złośliwe oprogramowanie.

Pomimo tego, że NoaBot jest zakorzeniony w Mirai, jego moduł rozprzestrzeniania wykorzystuje skaner SSH do identyfikowania serwerów podatnych na ataki słownikowe, umożliwiając mu przeprowadzanie prób użycia siły. Następnie złośliwe oprogramowanie dodaje klucz publiczny SSH do pliku .ssh/authorized_keys, umożliwiając zdalny dostęp. Opcjonalnie NoaBot może pobrać i uruchomić dodatkowe pliki binarne po pomyślnym wykorzystaniu lub rozprzestrzenić się na nowe ofiary.

Warto zauważyć, że NoaBot jest skompilowany z uClibc, zmieniając sposób, w jaki silniki bezpieczeństwa wykrywają złośliwe oprogramowanie. Podczas gdy inne warianty Mirai są zwykle identyfikowane za pomocą sygnatury Mirai, sygnatury chroniące przed złośliwym oprogramowaniem NoaBot klasyfikują go jako skaner SSH lub ogólny trojan. Oprócz zastosowania taktyk zaciemniania w celu skomplikowania analizy, sekwencja ataku ostatecznie kończy się wdrożeniem zmodyfikowanej wersji koparki monet XMRig .

NoaBot jest wyposażony w ulepszone funkcje zaciemniania

Tym, co odróżnia ten nowy wariant od innych kampanii opartych na botnecie Mirai , jest zauważalne pominięcie informacji dotyczących puli wydobywczej lub adresu portfela. Brak ten sprawia, że trudno jest ocenić rentowność nielegalnej operacji wydobywania kryptowalut.

Górnik podejmuje dodatkowe środki ostrożności, zaciemniając swoją konfigurację i wykorzystując dostosowaną do potrzeb pulę wydobywczą, strategicznie zapobiegając ujawnieniu adresu portfela. Ten poziom gotowości wykazywany przez podmioty zagrażające odzwierciedla celowe wysiłki mające na celu zwiększenie dyskrecji i odporności ich działań.

Jak dotąd badacze cyberbezpieczeństwa zidentyfikowali 849 adresów IP ofiar rozproszonych po całym świecie, przy czym znaczną koncentrację odnotowano w Chinach. W rzeczywistości incydenty te stanowią prawie 10% wszystkich ataków na Honeypoty w 2023 r., co podkreśla globalny zasięg i wpływ tego konkretnego wariantu.