NoaBot Botnet
Os atores da ameaça empregaram um botnet recém-surgido chamado NoaBot, que se baseia na estrutura Mirai, em uma iniciativa de mineração de criptografia. Acredita-se que a operação esteja em andamento pelo menos desde o início de 2023. O NoaBot possui recursos como um worm que se espalha automaticamente e um backdoor de chave SSH, permitindo o download e a execução de binários suplementares ou a propagação para novos alvos.
Índice
O Código do Mirai Ainda está sendo Usado para a Criação de Novos Malwares
O botnet Mirai é uma notória variedade de malware que visa principalmente dispositivos da Internet das Coisas (IoT). A divulgação do código-fonte permitiu que outros agentes mal-intencionados criassem suas próprias versões do malware, levando a uma proliferação de botnets baseados em Mirai. Esta ampla disponibilidade do código-fonte contribuiu para um aumento no número e na escala dos ataques relacionados com a IoT, colocando desafios significativos aos profissionais de segurança cibernética e aos fabricantes de dispositivos. Na verdade, inúmeras variantes e spin-offs da botnet Mirai surgiram desde a sua descoberta, cada uma com as suas próprias modificações e melhorias. Essas variantes geralmente têm como alvo vulnerabilidades específicas ou se concentram em diferentes tipos de dispositivos IoT. Alguns dos infames botnets baseados em Mirai incluem Reaper, Satori e Okiru. Um dos botnets mais recentes que utilizam o código da Mirai é o InfectedSlurs, que é capaz de realizar ataques distribuídos de negação de serviço (DDoS).
Características Específicas do NoaBot Botnet
Há indicações que sugerem uma conexão potencial entre o NoaBot e outra campanha de botnet associada a uma família de malware baseada em Rust chamada P2PInfect. Este malware específico passou recentemente por uma atualização para se concentrar em roteadores e dispositivos de Internet das Coisas (IoT). A base para esta conexão reside na observação de que os agentes de ameaças experimentaram substituir o P2PInfect por NoaBot em ataques recentes a servidores SSH, sugerindo esforços potenciais para a transição para malware personalizado.
Apesar do NoaBot estar enraizado no Mirai, seu módulo espalhador emprega um scanner SSH para identificar servidores vulneráveis a ataques de dicionário, permitindo-lhe realizar tentativas de força bruta. Posteriormente, o malware adiciona uma chave pública SSH ao arquivo .ssh/authorized_keys, permitindo o acesso remoto. Opcionalmente, o NoaBot pode baixar e executar binários adicionais após uma exploração bem-sucedida ou propagar-se para novas vítimas.
Notavelmente, o NoaBot é compilado com o uClibc, alterando a forma como os mecanismos de segurança detectam o malware. Embora outras variantes do Mirai sejam normalmente identificadas usando uma assinatura Mirai, as assinaturas antimalware do NoaBot o categorizam como um scanner SSH ou um Trojan genérico. Além de empregar táticas de ofuscação para complicar a análise, a sequência de ataque culmina na implantação de uma versão modificada do minerador de moedas XMRig.
NoaBot está Equipado com Recursos de Ofuscação Aprimorados
O que diferencia esta nova variante de outras campanhas baseadas em botnet Mirai é a sua notável omissão de informações relativas ao pool de mineração ou ao endereço da carteira. Esta ausência torna difícil avaliar a rentabilidade da operação ilícita de mineração de cripto-moedas.
O minerador toma precauções adicionais ao ofuscar sua configuração e utilizar um pool de mineração customizado, evitando estrategicamente a exposição do endereço da carteira. Este nível de preparação demonstrado pelos actores da ameaça reflecte um esforço deliberado para aumentar a discrição e a resiliência da sua operação.
Até agora, os investigadores de segurança cibernética identificaram 849 endereços IP de vítimas espalhados por todo o mundo, com concentrações significativas observadas na China. Na verdade, estes incidentes constituem quase 10% de todos os ataques contra honeypots em 2023, sublinhando o alcance e o impacto globais desta variante específica.
