NoaBot Ботнет
Злоумышленники использовали недавно появившийся ботнет под названием NoaBot, построенный на базе Mirai, для инициативы по майнингу криптовалют. Считается, что операция продолжается, по крайней мере, с начала 2023 года. NoaBot может похвастаться такими функциями, как самораспространяющийся червь и бэкдор с ключом SSH, позволяющий загружать и выполнять дополнительные двоичные файлы или распространять их на новые цели.
Оглавление
Код Mirai все еще используется для создания новых вредоносных программ
Ботнет Mirai — это печально известный штамм вредоносного ПО, который в первую очередь нацелен на устройства Интернета вещей (IoT). Публикация исходного кода позволила другим злоумышленникам создавать свои собственные версии вредоносного ПО, что привело к распространению ботнетов на базе Mirai. Широкая доступность исходного кода способствовала увеличению количества и масштабов атак, связанных с Интернетом вещей, что создало серьезные проблемы для специалистов по кибербезопасности и производителей устройств. Действительно, с момента его открытия появилось множество вариантов и побочных эффектов ботнета Mirai, каждый со своими модификациями и улучшениями. Эти варианты часто нацелены на конкретные уязвимости или ориентированы на различные типы устройств Интернета вещей. Некоторые из печально известных ботнетов на базе Mirai включают Reaper, Satori и Okiru. Одним из последних ботнетов, использующих код Mirai, является InfectedSlurs, который способен выполнять распределенные атаки типа «отказ в обслуживании» (DDoS).
Особенности ботнета NoaBot
Есть признаки, указывающие на потенциальную связь между NoaBot и другой кампанией ботнета, связанной с семейством вредоносных программ на базе Rust под названием P2PInfect. Это конкретное вредоносное ПО недавно было обновлено, чтобы сосредоточиться на маршрутизаторах и устройствах Интернета вещей (IoT). Основанием для этой связи является наблюдение о том, что злоумышленники экспериментировали с заменой NoaBot P2PInfect в недавних атаках на SSH-серверы, намекая на потенциальные попытки перехода на специальное вредоносное ПО.
Несмотря на то, что NoaBot укоренен в Mirai, его модуль распространения использует SSH-сканер для выявления серверов, уязвимых для атак по словарю, что позволяет ему проводить попытки перебора. Впоследствии вредоносная программа добавляет открытый ключ SSH в файл .ssh/authorized_keys, обеспечивая удаленный доступ. При желании NoaBot может загружать и выполнять дополнительные двоичные файлы после успешной эксплуатации или распространять себя среди новых жертв.
Примечательно, что NoaBot скомпилирован с uClibc, что изменяет способ обнаружения вредоносного ПО механизмами безопасности. В то время как другие варианты Mirai обычно идентифицируются с помощью подписи Mirai, сигнатуры защиты от вредоносных программ NoaBot классифицируют его как SSH-сканер или обычный троян. Помимо использования тактики запутывания для усложнения анализа, последовательность атак в конечном итоге завершается внедрением модифицированной версии майнера монет XMRig .
NoaBot оснащен расширенными функциями запутывания
Что отличает этот новый вариант от других кампаний на основе ботнета Mirai , так это заметное отсутствие информации, касающейся пула майнинга или адреса кошелька. Это отсутствие затрудняет оценку прибыльности незаконной операции по добыче криптовалюты.
Майнер принимает дополнительные меры предосторожности, запутывая свою конфигурацию и используя настраиваемый пул майнинга, стратегически предотвращая раскрытие адреса кошелька. Такой уровень готовности, демонстрируемый участниками угроз, отражает целенаправленные усилия по повышению скрытности и устойчивости их операций.
На данный момент исследователи кибербезопасности выявили 849 IP-адресов жертв, разбросанных по всему миру, значительная концентрация которых отмечена в Китае. Фактически, эти инциденты составляют почти 10% всех атак на приманки в 2023 году, что подчеркивает глобальный охват и влияние этого конкретного варианта.
