NoaBot Botnet
Akterji groženj so v pobudi za kripto rudarjenje uporabili na novo nastali botnet z imenom NoaBot, ki je zgrajen na ogrodju Mirai. Menijo, da operacija poteka vsaj od začetka leta 2023. NoaBot se ponaša s funkcijami, kot sta črv, ki se samo širi, in stranska vrata s ključem SSH, kar omogoča prenos in izvajanje dodatnih binarnih datotek ali širjenje do novih ciljev.
Kazalo
Koda Mirai se še vedno uporablja za ustvarjanje nove zlonamerne programske opreme
Botnetno omrežje Mirai je zloglasna vrsta zlonamerne programske opreme, ki cilja predvsem na naprave interneta stvari (IoT). Izdaja izvorne kode je drugim zlonamernim akterjem omogočila ustvarjanje lastnih različic zlonamerne programske opreme, kar je povzročilo širjenje botnetov, ki temeljijo na Miraiju. Ta široka dostopnost izvorne kode je prispevala k povečanju števila in obsega napadov, povezanih z internetom stvari, kar predstavlja velike izzive za strokovnjake za kibernetsko varnost in proizvajalce naprav. Dejansko so se od odkritja botneta Mirai pojavile številne različice in odcepitve, vsaka s svojimi spremembami in izboljšavami. Te različice so pogosto usmerjene na posebne ranljivosti ali se osredotočajo na različne vrste naprav IoT. Nekateri od zloglasnih botnetov, ki temeljijo na Miraiju, vključujejo Reaper, Satori in Okiru. Eden novejših botnetov, ki uporabljajo Miraijevo kodo, je InfectedSlurs, ki je sposoben izvajati napade DDoS (Distributed Denial-of-Service).
Posebne značilnosti botneta NoaBot
Obstajajo znaki, ki kažejo na potencialno povezavo med NoaBotom in drugo botnetno kampanjo, povezano z družino zlonamerne programske opreme, ki temelji na Rustu, imenovano P2PInfect. Ta posebna zlonamerna programska oprema je bila pred kratkim posodobljena, da bi se osredotočila na usmerjevalnike in naprave interneta stvari (IoT). Osnova za to povezavo je opažanje, da so akterji groženj eksperimentirali z zamenjavo P2PInfect za NoaBot v nedavnih napadih na strežnike SSH, kar namiguje na morebitna prizadevanja za prehod na zlonamerno programsko opremo po meri.
Kljub temu, da je NoaBot zakoreninjen v Miraiju, njegov modul za razširjanje uporablja optični bralnik SSH za identifikacijo strežnikov, ki so ranljivi za napade s slovarjem, kar mu omogoča izvajanje poskusov surove sile. Nato zlonamerna programska oprema doda javni ključ SSH v datoteko .ssh/authorized_keys, kar omogoči oddaljeni dostop. Po želji lahko NoaBot prenese in izvede dodatne binarne datoteke po uspešnem izkoriščanju ali se razširi na nove žrtve.
Predvsem je NoaBot preveden z uClibc, ki spreminja način, kako varnostni mehanizmi zaznajo zlonamerno programsko opremo. Medtem ko so druge različice Mirai običajno identificirane s podpisom Mirai, ga podpisi NoaBot za zaščito pred zlonamerno programsko opremo kategorizirajo kot optični bralnik SSH ali generični trojanec. Poleg uporabe taktike zamegljevanja za zapletanje analize zaporedje napadov na koncu doseže vrhunec z uvedbo spremenjene različice rudarja kovancev XMRig .
NoaBot je opremljen z izboljšanimi funkcijami zakrivanja
Kar ločuje to novo različico od drugih kampanj, ki temeljijo na botnetu Mirai , je opazna opustitev informacij, ki se nanašajo na rudarski bazen ali naslov denarnice. Zaradi te odsotnosti je težko oceniti dobičkonosnost nedovoljenega rudarjenja kriptovalut.
Rudar sprejme dodatne previdnostne ukrepe tako, da prikrije svojo konfiguracijo in uporabi prilagojeno rudarsko skupino, s čimer strateško prepreči razkritje naslova denarnice. Ta stopnja pripravljenosti, ki jo kažejo akterji groženj, odraža namerno prizadevanje za izboljšanje prikritosti in odpornosti njihovega delovanja.
Do zdaj so raziskovalci kibernetske varnosti identificirali 849 naslovov IP žrtev, razpršenih po vsem svetu, pri čemer so bile znatne koncentracije opažene na Kitajskem. Pravzaprav ti incidenti predstavljajo skoraj 10 % vseh napadov na honeypots v letu 2023, kar poudarja globalni doseg in vpliv te posebne različice.
