Botnet NoaBot
Aktéri hrozieb použili novovzniknutý botnet s názvom NoaBot, ktorý je postavený na rámci Mirai, v rámci iniciatívy na ťažbu kryptomien. Predpokladá sa, že operácia prebieha prinajmenšom od začiatku roku 2023. NoaBot sa môže pochváliť funkciami, ako je samošíriaci sa červ a zadné vrátka kľúča SSH, ktoré umožňujú sťahovanie a spúšťanie doplnkových binárnych súborov alebo ich šírenie na nové ciele.
Obsah
Miraiov kód sa stále používa na vytváranie nového malvéru
Botnet Mirai je notoricky známy kmeň škodlivého softvéru, ktorý sa primárne zameriava na zariadenia internetu vecí (IoT). Uvoľnenie zdrojového kódu umožnilo iným škodlivým aktérom vytvárať vlastné verzie malvéru, čo viedlo k šíreniu botnetov založených na Mirai. Táto rozšírená dostupnosť zdrojového kódu prispela k zvýšeniu počtu a rozsahu útokov súvisiacich s internetom vecí, čo predstavuje významné výzvy pre profesionálov v oblasti kybernetickej bezpečnosti a výrobcov zariadení. Od objavenia botnetu Mirai sa skutočne objavilo množstvo variant a vedľajších produktov, z ktorých každý má svoje vlastné úpravy a vylepšenia. Tieto varianty sa často zameriavajú na konkrétne zraniteľnosti alebo sa zameriavajú na rôzne typy zariadení internetu vecí. Niektoré z neslávne známych botnetov založených na Mirai zahŕňajú Reaper, Satori a Okiru. Jedným z najnovších botnetov, ktoré využívajú kód Mirai, je InfectedSlurs, ktorý je schopný vykonávať útoky Distributed Denial-of-Service (DDoS).
Špecifické vlastnosti botnetu NoaBot
Existujú náznaky, ktoré naznačujú potenciálne spojenie medzi NoaBotom a inou botnetovou kampaňou spojenou s rodinou škodlivého softvéru na báze Rust s názvom P2PInfect. Tento konkrétny malvér nedávno prešiel aktualizáciou, aby sa zameral na smerovače a zariadenia internetu vecí (IoT). Základ tohto spojenia spočíva v pozorovaní, že aktéri hrozieb experimentovali s nahradením P2PInfect za NoaBot v nedávnych útokoch na servery SSH, čo naznačuje potenciálne snahy o prechod na vlastný malvér.
Napriek tomu, že NoaBot je zakorenený v Mirai, jeho rozširovací modul využíva skener SSH na identifikáciu serverov zraniteľných voči slovníkovým útokom, čo mu umožňuje vykonávať pokusy hrubou silou. Následne malvér pridá do súboru .ssh/authorized_keys verejný kľúč SSH, čím umožní vzdialený prístup. Voliteľne môže NoaBot stiahnuť a spustiť ďalšie binárne súbory po úspešnom zneužití alebo sa môže rozšíriť na nové obete.
NoaBot je skompilovaný s uClibc, čím sa mení spôsob, akým bezpečnostné nástroje detekujú malvér. Zatiaľ čo iné varianty Mirai sa zvyčajne identifikujú pomocou podpisu Mirai, antimalvérové podpisy NoaBot ich kategorizujú ako skener SSH alebo generický trójsky kôň. Okrem použitia taktiky zahmlievania na skomplikovanie analýzy vyvrcholí sled útokov nasadením upravenej verzie mincovníka XMRig .
NoaBot je vybavený vylepšenými funkciami zahmlievania
Čo odlišuje tento nový variant od iných kampaní založených na botnete Mirai , je jeho pozoruhodné vynechanie informácií týkajúcich sa ťažobného fondu alebo adresy peňaženky. Táto absencia spôsobuje, že je náročné posúdiť ziskovosť nezákonnej ťažby kryptomien.
Baník prijíma ďalšie opatrenia tým, že zahmlieva svoju konfiguráciu a využíva prispôsobený fond ťažby, čím strategicky zabraňuje odhaleniu adresy peňaženky. Táto úroveň pripravenosti vykazovaná aktérmi hrozby odráža zámerné úsilie o zvýšenie utajenia a odolnosti ich operácie.
Výskumníci v oblasti kybernetickej bezpečnosti doteraz identifikovali 849 IP adries obetí roztrúsených po celom svete, pričom významné koncentrácie boli zaznamenané v Číne. V skutočnosti tieto incidenty predstavujú takmer 10 % všetkých útokov proti honeypotom v roku 2023, čo podčiarkuje globálny dosah a vplyv tohto konkrétneho variantu.
