НоаБот Ботнет
Актери претњи су користили новонастали ботнет под називом НоаБот, који је изграђен на Мираи оквиру, у иницијативи за рударење криптовалута. Верује се да је операција у току најмање од почетка 2023. НоаБот се може похвалити карактеристикама као што су црв који се само шири и бацкдоор ССХ кључа, омогућавајући преузимање и извршавање додатних бинарних датотека или ширење до нових циљева.
Преглед садржаја
Мираијев код се и даље користи за креирање новог малвера
Мираи ботнет је озлоглашени малвер који првенствено циља на уређаје Интернета ствари (ИоТ). Објављивање изворног кода омогућило је другим злонамерним актерима да креирају сопствене верзије малвера, што је довело до пролиферације ботнет-а заснованих на Мираи-у. Ова широко распрострањена доступност изворног кода допринела је повећању броја и обима напада повезаних са интернетом ствари, што представља значајне изазове за професионалце за сајбер безбедност и произвођаче уређаја. Заиста, бројне варијанте и спин-офф Мираи ботнета су се појавиле од његовог открића, свака са својим модификацијама и побољшањима. Ове варијанте често циљају на специфичне рањивости или се фокусирају на различите типове ИоТ уређаја. Неки од злогласних ботнет-а заснованих на Мираију укључују Реапер, Сатори и Окиру. Један од новијих ботнет-а који користи Мираи-јев код је ИнфецтедСлурс, који је способан да изврши нападе дистрибуираног ускраћивања услуге (ДДоС).
Специфичне карактеристике НоаБот ботнета
Постоје индикације које указују на потенцијалну везу између НоаБот-а и друге ботнет кампање повезане са породицом злонамерног софтвера заснованог на Руст-у под називом П2ПИнфецт. Овај конкретан малвер је недавно прошао ажурирање како би се фокусирао на циљање рутера и уређаја Интернета ствари (ИоТ). Основа за ову везу лежи у запажању да су актери претњи експериментисали са заменом П2ПИнфецт-а за НоаБот у недавним нападима на ССХ сервере, наговештавајући потенцијалне напоре за прелазак на прилагођени малвер.
Упркос томе што је НоаБот укорењен у Мираи-у, његов модул за ширење користи ССХ скенер да идентификује сервере који су рањиви на нападе из речника, омогућавајући му да спроводи покушаје грубе силе. Након тога, малвер додаје ССХ јавни кључ у датотеку .ссх/аутхоризед_кеис, омогућавајући даљински приступ. Опционо, НоаБот може да преузме и изврши додатне бинарне датотеке након успешне експлоатације или да се шири на нове жртве.
Посебно, НоаБот је компајлиран са уЦлибц-ом, мењајући начин на који безбедносни мотори откривају малвер. Док се друге Мираи варијанте обично идентификују коришћењем Мираи потписа, НоаБот-ови анти-малвер потписи га категоришу као ССХ скенер или генерички тројанац. Поред употребе тактике замагљивања да би се компликовала анализа, секвенца напада на крају кулминира применом модификоване верзије КСМРиг рудара новчића.
НоаБот је опремљен побољшаним функцијама замагљивања
Оно што ову нову варијанту разликује од других кампања заснованих на Мираи ботнет-у је приметан изостанак информација које се односе на рударски базен или адресу новчаника. Ово одсуство чини изазовом процену профитабилности незаконите операције рударења криптовалута.
Рудар предузима додатне мере предострожности тако што прикрива своју конфигурацију и користи прилагођени базен за рударење, стратешки спречавајући излагање адресе новчаника. Овај ниво припремљености који су показали актери претњи одражава намерни напор да се побољша прикривеност и отпорност њихових операција.
До сада су истраживачи сајбер-безбедности идентификовали 849 ИП адреса жртава раштрканих широм света, са значајним концентрацијама забележеним у Кини. У ствари, ови инциденти чине скоро 10% свих напада на хонеипотс у 2023. години, наглашавајући глобални домет и утицај ове конкретне варијанте.
