NoaBot Botnet'i
Tehdit aktörleri, bir kripto madenciliği girişiminde Mirai çerçevesi üzerine inşa edilen NoaBot adlı yeni ortaya çıkan bir botnet'i kullandı. Operasyonun en azından 2023'ün başından beri devam ettiğine inanılıyor. NoaBot, kendi kendine yayılan bir solucan ve bir SSH anahtarı arka kapısı gibi özelliklere sahip olup, ek ikili dosyaların indirilmesine ve çalıştırılmasına veya yeni hedeflere yayılmasına olanak tanır.
İçindekiler
Mirai'nin Kodu Hala Yeni Kötü Amaçlı Yazılımların Oluşturulması İçin Kullanılıyor
Mirai botnet, öncelikle Nesnelerin İnterneti (IoT) cihazlarını hedef alan kötü şöhretli bir kötü amaçlı yazılım türüdür. Kaynak kodunun yayınlanması, diğer kötü niyetli aktörlerin kötü amaçlı yazılımın kendi sürümlerini oluşturmasına olanak tanıdı ve bu da Mirai tabanlı botnet'lerin çoğalmasına yol açtı. Kaynak kodunun bu kadar yaygın olarak bulunması, IoT ile ilgili saldırıların sayısının ve ölçeğinin artmasına katkıda bulunarak siber güvenlik profesyonelleri ve cihaz üreticileri için önemli zorluklar yarattı. Aslında, Mirai botnet'in keşfedilmesinden bu yana her biri kendi modifikasyonlarına ve geliştirmelerine sahip çok sayıda çeşidi ve yan ürünü ortaya çıktı. Bu değişkenler genellikle belirli güvenlik açıklarını hedefler veya farklı türdeki IoT cihazlarına odaklanır. Kötü şöhretli Mirai tabanlı botnet'lerden bazıları Reaper, Satori ve Okiru'dur. Mirai'nin kodunu kullanan en yeni botnet'lerden biri, Dağıtılmış Hizmet Reddi (DDoS) saldırılarını gerçekleştirebilen InfectedSlurs'tur.
NoaBot Botnet'in Özel Özellikleri
NoaBot ile P2PInfect adı verilen Rust tabanlı kötü amaçlı yazılım ailesiyle ilişkili başka bir botnet kampanyası arasında potansiyel bir bağlantı olduğunu gösteren göstergeler var. Bu özel kötü amaçlı yazılım, yakın zamanda yönlendiricileri ve Nesnelerin İnterneti (IoT) cihazlarını hedeflemeye odaklanmak için bir güncellemeye tabi tutuldu. Bu bağlantının temelinde, tehdit aktörlerinin SSH sunucularına yapılan son saldırılarda NoaBot yerine P2PInfect'i kullanmayı denediği gözlemi yatıyor; bu da özel kötü amaçlı yazılımlara geçiş yönündeki potansiyel çabalara işaret ediyor.
NoaBot'un kökleri Mirai'de olmasına rağmen, yayma modülü, sözlük saldırılarına karşı savunmasız sunucuları tespit etmek için bir SSH tarayıcısı kullanır ve bu da onun kaba kuvvet girişimleri gerçekleştirmesine olanak tanır. Daha sonra kötü amaçlı yazılım, .ssh/authorized_keys dosyasına bir SSH genel anahtarı ekleyerek uzaktan erişimi mümkün kılar. İsteğe bağlı olarak NoaBot, başarılı bir şekilde istismarın ardından ek ikili dosyaları indirip çalıştırabilir veya kendisini yeni kurbanlara yayabilir.
Özellikle NoaBot'un uClibc ile derlenmesi, güvenlik motorlarının kötü amaçlı yazılımları algılama şeklini değiştiriyor. Diğer Mirai çeşitleri genellikle bir Mirai imzası kullanılarak tanımlanırken, NoaBot'un kötü amaçlı yazılımdan koruma imzaları onu bir SSH tarayıcısı veya genel bir Truva atı olarak sınıflandırır. Analizi karmaşık hale getirmek için gizleme taktikleri kullanmanın yanı sıra, saldırı dizisi sonuçta XMRig madeni para madencisinin değiştirilmiş bir versiyonunun konuşlandırılmasıyla sonuçlanır.
NoaBot Gelişmiş Gizleme Özellikleriyle Donatılmıştır
Bu yeni varyantı diğer Mirai botnet tabanlı kampanyalardan ayıran şey, madencilik havuzu veya cüzdan adresiyle ilgili bilgilerin dikkate değer şekilde ihmal edilmesidir. Bu eksiklik, yasadışı kripto para birimi madenciliği operasyonunun karlılığını ölçmeyi zorlaştırıyor.
Madenci, yapılandırmasını gizleyerek ve özelleştirilmiş bir madencilik havuzu kullanarak, cüzdan adresinin açığa çıkmasını stratejik olarak önleyerek ek önlemler alır. Tehdit aktörlerinin sergilediği bu hazırlık düzeyi, operasyonlarının gizliliğini ve dayanıklılığını artırmaya yönelik kasıtlı bir çabayı yansıtıyor.
Şu an itibariyle siber güvenlik araştırmacıları dünya çapında dağılmış 849 kurban IP adresi tespit etti ve önemli yoğunlukların Çin'de olduğu belirtildi. Aslında bu olaylar, 2023'te bal küplerine yönelik tüm saldırıların neredeyse %10'unu oluşturuyor ve bu durum, bu özel türün küresel erişiminin ve etkisinin altını çiziyor.
