NoaBot Botnet
Hotaktörer har använt ett nyuppstått botnät vid namn NoaBot, som är byggt på Mirai-ramverket, i ett initiativ för kryptomining. Man tror att operationen har pågått sedan åtminstone början av 2023. NoaBot har funktioner som en självspridande mask och en SSH-nyckel bakdörr, vilket möjliggör nedladdning och exekvering av kompletterande binärer eller spridning till nya mål.
Innehållsförteckning
Mirais kod används fortfarande för att skapa ny skadlig programvara
Mirai botnät är en ökända skadlig kod som främst riktar sig till Internet of Things (IoT)-enheter. Utgivningen av källkoden gjorde det möjligt för andra skadliga aktörer att skapa sina egna versioner av skadlig programvara, vilket ledde till en spridning av Mirai-baserade botnät. Denna utbredda tillgänglighet av källkoden bidrog till en ökning av antalet och omfattningen av IoT-relaterade attacker, vilket innebar betydande utmaningar för cybersäkerhetsproffs och enhetstillverkare. Faktum är att många varianter och spin-offs av Mirai-botnätet har dykt upp sedan dess upptäckt, var och en med sina egna modifieringar och förbättringar. Dessa varianter riktar sig ofta mot specifika sårbarheter eller fokuserar på olika typer av IoT-enheter. Några av de ökända Mirai-baserade botnäten inkluderar Reaper, Satori och Okiru. Ett av de nyare botnäten som använder Mirais kod är InfectedSlurs, som kan utföra DDoS-attacker (Distributed Denial-of-Service).
Specifika egenskaper hos NoaBot Botnet
Det finns indikationer som tyder på en potentiell koppling mellan NoaBot och en annan botnätkampanj associerad med en Rust-baserad skadlig programvara som heter P2PInfect. Denna speciella skadliga programvara genomgick nyligen en uppdatering för att fokusera på routrar och Internet of Things (IoT)-enheter. Grunden för denna koppling ligger i observationen att hotaktörer har experimenterat med att ersätta NoaBot med P2PInfect i de senaste attackerna på SSH-servrar, vilket antyder potentiella försök att övergå till anpassad skadlig programvara.
Trots att NoaBot är rotad i Mirai, använder dess spridningsmodul en SSH-skanner för att identifiera servrar som är sårbara för ordboksattacker, vilket gör att den kan utföra brute-force-försök. Därefter lägger den skadliga programvaran till en offentlig SSH-nyckel till filen .ssh/authorized_keys, vilket möjliggör fjärråtkomst. Valfritt kan NoaBot ladda ner och köra ytterligare binärer efter framgångsrik exploatering eller sprida sig till nya offer.
Noterbart är NoaBot kompilerad med uClibc, vilket ändrar hur säkerhetsmotorer upptäcker skadlig programvara. Medan andra Mirai-varianter vanligtvis identifieras med en Mirai-signatur, kategoriserar NoaBots anti-malware-signaturer den som en SSH-skanner eller en generisk trojan. Förutom att använda fördunklingstaktik för att komplicera analys, kulminerar attacksekvensen i slutändan i utplaceringen av en modifierad version av XMRig -myntgruvarbetaren.
NoaBot är utrustad med förbättrade obfuskeringsfunktioner
Det som skiljer den här nya varianten från andra Mirai botnät-baserade kampanjer är dess anmärkningsvärda utelämnande av information som hänför sig till gruvpoolen eller plånboksadressen. Denna frånvaro gör det svårt att bedöma lönsamheten för den olagliga brytningen av kryptovaluta.
Gruvarbetaren vidtar ytterligare försiktighetsåtgärder genom att fördunkla dess konfiguration och använda en anpassad gruvpool, vilket strategiskt förhindrar exponeringen av plånboksadressen. Denna beredskapsnivå som hotaktörerna uppvisar återspeglar en medveten ansträngning för att öka smygkraften och motståndskraften i deras verksamhet.
Hittills har cybersäkerhetsforskare identifierat 849 offer-IP-adresser utspridda över hela världen, med betydande koncentrationer noterade i Kina. Faktum är att dessa incidenter utgör nästan 10 % av alla attacker mot honungskrukor 2023, vilket understryker den globala räckvidden och effekten av just denna variant.
