NoaBot Botnet
Gumamit ang mga aktor ng pagbabanta ng bagong umusbong na botnet na pinangalanang NoaBot, na binuo sa balangkas ng Mirai, sa isang inisyatiba ng crypto-mining. Pinaniniwalaan na ang operasyon ay nagpapatuloy mula pa noong simula ng 2023. Ipinagmamalaki ng NoaBot ang mga tampok tulad ng isang self-spreading worm at isang backdoor ng SSH key, na nagpapagana sa pag-download at pagpapatupad ng mga pandagdag na binary o ang pagpapalaganap sa mga bagong target.
Talaan ng mga Nilalaman
Ginagamit pa rin ang Code ni Mirai para sa Paglikha ng Bagong Malware
Ang Mirai botnet ay isang kilalang malware strain na pangunahing nagta-target ng mga Internet of Things (IoT) na device. Ang paglabas ng source code ay nagbigay-daan sa iba pang malisyosong aktor na lumikha ng sarili nilang mga bersyon ng malware, na humahantong sa paglaganap ng mga botnet na nakabase sa Mirai. Ang malawakang pagkakaroon ng source code na ito ay nag-ambag sa pagtaas ng bilang at sukat ng mga pag-atake na nauugnay sa IoT, na nagdulot ng malalaking hamon sa mga propesyonal sa cybersecurity at mga tagagawa ng device. Sa katunayan, maraming variant at spin-off ng Mirai botnet ang lumitaw mula nang matuklasan ito, bawat isa ay may sariling mga pagbabago at pagpapahusay. Ang mga variant na ito ay madalas na nagta-target ng mga partikular na kahinaan o tumutuon sa iba't ibang uri ng mga IoT device. Ang ilan sa mga kasumpa-sumpa na botnet na nakabase sa Mirai ay kinabibilangan ng Reaper, Satori, at Okiru. Isa sa mga pinakabago, ang mga botnet na gumagamit ng code ni Mirai ay InfectedSlurs, na may kakayahang magsagawa ng mga Distributed Denial-of-Service (DDoS) na pag-atake.
Mga Tukoy na Katangian ng NoaBot Botnet
May mga indikasyon na nagmumungkahi ng potensyal na koneksyon sa pagitan ng NoaBot at ng isa pang botnet campaign na nauugnay sa isang Rust-based na pamilya ng malware na tinatawag na P2PInfect. Ang partikular na malware na ito ay sumailalim kamakailan sa isang update upang tumuon sa pag-target sa mga router at Internet of Things (IoT) device. Ang batayan para sa koneksyon na ito ay nakasalalay sa obserbasyon na ang mga aktor ng pagbabanta ay nag-eksperimento sa pagpapalit ng P2PInfect para sa NoaBot sa mga kamakailang pag-atake sa mga server ng SSH, na nagpapahiwatig ng mga potensyal na pagsisikap na lumipat sa custom na malware.
Sa kabila ng NoaBot na na-root sa Mirai, ang spreader module nito ay gumagamit ng SSH scanner upang tukuyin ang mga server na vulnerable sa mga pag-atake sa diksyunaryo, na nagpapahintulot dito na magsagawa ng brute-force na mga pagtatangka. Kasunod nito, ang malware ay nagdaragdag ng isang SSH na pampublikong key sa .ssh/authorized_keys file, na nagpapagana ng malayuang pag-access. Opsyonal, maaaring mag-download at magsagawa ng mga karagdagang binary ang NoaBot kasunod ng matagumpay na pagsasamantala o ipalaganap ang sarili nito sa mga bagong biktima.
Kapansin-pansin, ang NoaBot ay pinagsama-sama sa uClibc, na binabago kung paano nakita ng mga security engine ang malware. Habang ang ibang mga variant ng Mirai ay karaniwang tinutukoy gamit ang isang Mirai signature, ang mga anti-malware na lagda ng NoaBot ay ikinategorya ito bilang isang SSH scanner o isang generic na Trojan. Bilang karagdagan sa paggamit ng mga taktika ng obfuscation upang gawing kumplikado ang pagsusuri, ang sequence ng pag-atake sa huli ay nagtatapos sa pag-deploy ng isang binagong bersyon ng XMRig coin miner.
Ang NoaBot ay Nilagyan ng Pinahusay na Mga Feature ng Obfuscation
Ang nagbubukod sa bagong variant na ito mula sa iba pang mga campaign na nakabatay sa botnet ng Mirai ay ang kapansin-pansing pagtanggal ng impormasyong nauukol sa mining pool o address ng wallet. Ang kawalan na ito ay nagiging mahirap na sukatin ang kakayahang kumita ng ipinagbabawal na operasyon ng pagmimina ng cryptocurrency.
Ang minero ay nagsasagawa ng mga karagdagang pag-iingat sa pamamagitan ng pag-obfuscate ng configuration nito at paggamit ng customized na pool ng pagmimina, na madiskarteng pinipigilan ang pagkakalantad ng address ng wallet. Ang antas ng pagiging handa na ipinakita ng mga aktor ng pagbabanta ay sumasalamin sa isang sadyang pagsisikap na pahusayin ang lihim at katatagan ng kanilang operasyon.
Sa ngayon, natukoy ng mga mananaliksik sa cybersecurity ang 849 na mga IP address ng biktima na nakakalat sa buong mundo, na may makabuluhang konsentrasyon na nabanggit sa China. Sa katunayan, ang mga insidenteng ito ay bumubuo ng halos 10% ng lahat ng pag-atake laban sa mga honeypot noong 2023, na binibigyang-diin ang pandaigdigang pag-abot at epekto ng partikular na variant na ito.
