NoaBot Botnet
Aktorët e kërcënimeve kanë përdorur një botnet të saposhfaqur të quajtur NoaBot, i cili është ndërtuar mbi kornizën Mirai, në një iniciativë të minierave kripto. Besohet se operacioni ka vazhduar të paktën që nga fillimi i vitit 2023. NoaBot krenohet me veçori të tilla si një krimb vetëpërhapës dhe një derë e pasme e çelësit SSH, që mundëson shkarkimin dhe ekzekutimin e binarëve shtesë ose përhapjen në objektiva të rinj.
Tabela e Përmbajtjes
Kodi i Mirai është ende duke u përdorur për krijimin e malware të rinj
Botnet Mirai është një lloj i njohur malware që synon kryesisht pajisjet e Internetit të Gjërave (IoT). Lëshimi i kodit burim mundësoi aktorë të tjerë keqdashës të krijojnë versionet e tyre të malware, duke çuar në një përhapje të botnet-eve të bazuara në Mirai. Kjo disponueshmëri e gjerë e kodit burimor kontribuoi në një rritje të numrit dhe shkallës së sulmeve të lidhura me IoT, duke paraqitur sfida të rëndësishme për profesionistët e sigurisë kibernetike dhe prodhuesit e pajisjeve. Në të vërtetë, variante të shumta dhe spin-off të botnetit Mirai janë shfaqur që nga zbulimi i tij, secila me modifikimet dhe përmirësimet e veta. Këto variante shpesh synojnë dobësi specifike ose fokusohen në lloje të ndryshme të pajisjeve IoT. Disa nga botnet-et famëkeqe të bazuara në Mirai përfshijnë Reaper, Satori dhe Okiru. Një nga botnet-et më të fundit që përdor kodin e Mirai-t është InfectedSlurs, i cili është në gjendje të kryejë sulme të Shpërndara Denial-of-Service (DDoS).
Karakteristikat specifike të NoaBot Botnet
Ka indikacione që sugjerojnë një lidhje të mundshme midis NoaBot dhe një fushate tjetër botnet të lidhur me një familje malware të bazuar në Rust të quajtur P2PInfect. Ky malware i veçantë iu nënshtrua kohët e fundit një përditësim për t'u fokusuar në shënjestrimin e ruterave dhe pajisjeve të Internetit të Gjërave (IoT). Baza për këtë lidhje qëndron në vëzhgimin se aktorët e kërcënimit kanë eksperimentuar me zëvendësimin e P2PInfect për NoaBot në sulmet e fundit në serverët SSH, duke lënë të kuptohet për përpjekjet e mundshme për të kaluar në malware të personalizuar.
Pavarësisht se NoaBot është i rrënjosur në Mirai, moduli i tij shpërndarës përdor një skaner SSH për të identifikuar serverët e cenueshëm ndaj sulmeve të fjalorit, duke e lejuar atë të kryejë përpjekje me forcë brutale. Më pas, malware shton një çelës publik SSH në skedarin .ssh/authorized_keys, duke mundësuar akses në distancë. Opsionale, NoaBot mund të shkarkojë dhe ekzekutojë binare shtesë pas shfrytëzimit të suksesshëm ose të përhapet te viktima të reja.
Veçanërisht, NoaBot është përpiluar me uClibc, duke ndryshuar mënyrën se si motorët e sigurisë zbulojnë malware. Ndërsa variantet e tjera të Mirai zakonisht identifikohen duke përdorur një nënshkrim Mirai, nënshkrimet anti-malware të NoaBot e kategorizojnë atë si një skaner SSH ose një Trojan gjenerik. Përveç përdorimit të taktikave të turbullimit për të komplikuar analizën, sekuenca e sulmit përfundimisht arrin kulmin me vendosjen e një versioni të modifikuar të minatorit të monedhave XMRig .
NoaBot është i pajisur me veçori të përmirësuara të turbullimit
Ajo që e veçon këtë variant të ri nga fushatat e tjera të bazuara në botnet Mirai është mungesa e dukshme e informacionit që ka të bëjë me adresën e grupit të minierave ose portofolit. Kjo mungesë e bën të vështirë për të vlerësuar përfitimin e operacionit të paligjshëm të minierave të kriptomonedhave.
Minatori merr masa paraprake shtesë duke errësuar konfigurimin e tij dhe duke përdorur një pishinë të personalizuar të minierave, duke parandaluar në mënyrë strategjike ekspozimin e adresës së portofolit. Ky nivel gatishmërie i shfaqur nga aktorët e kërcënimit pasqyron një përpjekje të qëllimshme për të rritur fshehtësinë dhe elasticitetin e funksionimit të tyre.
Deri tani, studiuesit e sigurisë kibernetike kanë identifikuar 849 adresa IP të viktimave të shpërndara në mbarë botën, me përqendrime të konsiderueshme të shënuara në Kinë. Në fakt, këto incidente përbëjnë gati 10% të të gjitha sulmeve kundër honeypots në vitin 2023, duke nënvizuar shtrirjen globale dhe ndikimin e këtij varianti të veçantë.
