NoaBot Botnet
Actorii amenințărilor au folosit o rețea botnet nou apărută numită NoaBot, care este construită pe cadrul Mirai, într-o inițiativă de cripto-mining. Se crede că operațiunea a fost în desfășurare cel puțin de la începutul anului 2023. NoaBot are caracteristici precum un vierme cu auto-răspândire și o ușă din spate a cheii SSH, permițând descărcarea și executarea de fișiere binare suplimentare sau propagarea către ținte noi.
Cuprins
Codul Mirai este încă folosit pentru crearea de noi programe malware
Rețeaua botnet Mirai este o tulpină de malware notorie care vizează în primul rând dispozitivele Internet of Things (IoT). Lansarea codului sursă a permis altor actori rău intenționați să-și creeze propriile versiuni ale malware-ului, ceea ce a dus la o proliferare a botnet-urilor bazate pe Mirai. Această disponibilitate pe scară largă a codului sursă a contribuit la creșterea numărului și a amplorii atacurilor legate de IoT, punând provocări semnificative profesioniștilor în securitate cibernetică și producătorilor de dispozitive. Într-adevăr, de la descoperirea sa au apărut numeroase variante și spin-off ale rețelei botne Mirai, fiecare cu propriile modificări și îmbunătățiri. Aceste variante vizează adesea vulnerabilități specifice sau se concentrează pe diferite tipuri de dispozitive IoT. Unele dintre rețelele botnet infame bazate pe Mirai includ Reaper, Satori și Okiru. Una dintre cele mai recente, botnet-urile care utilizează codul Mirai este InfectedSlurs, care este capabil să efectueze atacuri Distributed Denial-of-Service (DDoS).
Caracteristicile specifice ale NoaBot Botnet
Există indicii care sugerează o potențială conexiune între NoaBot și o altă campanie botnet asociată cu o familie de malware bazată pe Rust numită P2PInfect. Acest malware special a suferit recent o actualizare pentru a se concentra pe direcționarea routerelor și a dispozitivelor Internet of Things (IoT). Baza acestei conexiuni stă în observația că actorii amenințărilor au experimentat înlocuirea P2PInfect cu NoaBot în recentele atacuri asupra serverelor SSH, sugerând eforturile potențiale de tranziție la malware personalizat.
În ciuda faptului că NoaBot este înrădăcinat în Mirai, modulul său de răspândire folosește un scaner SSH pentru a identifica serverele vulnerabile la atacurile de dicționar, permițându-i să efectueze încercări de forță brută. Ulterior, malware-ul adaugă o cheie publică SSH la fișierul .ssh/authorized_keys, permițând accesul de la distanță. Opțional, NoaBot poate descărca și executa fișiere binare suplimentare în urma exploatării cu succes sau se poate propaga la noi victime.
În special, NoaBot este compilat cu uClibc, modificând modul în care motoarele de securitate detectează malware-ul. În timp ce alte variante Mirai sunt de obicei identificate folosind o semnătură Mirai, semnăturile anti-malware ale NoaBot îl clasifică drept scaner SSH sau troian generic. În plus față de folosirea tacticilor de ofuscare pentru a complica analiza, secvența de atac culminează în cele din urmă cu desfășurarea unei versiuni modificate a minerului de monede XMRig .
NoaBot este echipat cu funcții de ofuscare îmbunătățite
Ceea ce diferențiază această nouă variantă de alte campanii bazate pe botnet Mirai este omisiunea notabilă a informațiilor referitoare la pool-ul de minerit sau la adresa portofelului. Această absență face dificilă măsurarea profitabilității operațiunii ilicite de extragere a criptomonedei.
Minerul ia măsuri de precauție suplimentare, ofucându-și configurația și utilizând un pool de minerit personalizat, prevenind strategic expunerea adresei portofel. Acest nivel de pregătire manifestat de actorii amenințărilor reflectă un efort deliberat de a spori ascunsarea și rezistența operațiunii lor.
În prezent, cercetătorii în domeniul securității cibernetice au identificat 849 de adrese IP ale victimelor împrăștiate în întreaga lume, cu concentrații semnificative observate în China. De fapt, aceste incidente constituie aproape 10% din toate atacurile împotriva honeypots în 2023, subliniind acoperirea globală și impactul acestei variante particulare.
