Ботнет NoaBot
Зловмисники використали нещодавно створений ботнет під назвою NoaBot, який побудований на фреймворку Mirai, в рамках ініціативи з майнінгу криптовалют. Вважається, що операція триває принаймні з початку 2023 року. NoaBot може похвалитися такими функціями, як хробак, що саморозповсюджується, і бекдор із ключем SSH, що дозволяє завантажувати та виконувати додаткові двійкові файли або розповсюджувати нові цілі.
Зміст
Код Mirai все ще використовується для створення нових шкідливих програм
Ботнет Mirai — сумнозвісний штам зловмисного програмного забезпечення, яке в основному націлене на пристрої Інтернету речей (IoT). Випуск вихідного коду дозволив іншим зловмисникам створювати власні версії зловмисного програмного забезпечення, що призвело до поширення ботнетів на основі Mirai. Ця широка доступність вихідного коду сприяла збільшенню кількості та масштабу атак, пов’язаних з IoT, створюючи значні проблеми для фахівців з кібербезпеки та виробників пристроїв. Дійсно, з часу відкриття ботнету Mirai з’явилися численні варіанти та поділки, кожен зі своїми модифікаціями та вдосконаленнями. Ці варіанти часто спрямовані на конкретні вразливості або зосереджені на різних типах пристроїв IoT. Деякі з сумнозвісних бот-мереж на базі Mirai включають Reaper, Satori та Okiru. Одним із останніх ботнетів, які використовують код Mirai, є InfectedSlurs, який здатний здійснювати атаки розподіленої відмови в обслуговуванні (DDoS).
Специфічні характеристики ботнету NoaBot
Існують ознаки потенційного зв’язку між NoaBot та іншою ботнет-кампанією, пов’язаною з сімейством шкідливих програм на основі Rust під назвою P2PInfect. Це зловмисне програмне забезпечення нещодавно зазнало оновлення, спрямоване на націлювання на маршрутизатори та пристрої Інтернету речей (IoT). Основою для цього зв’язку є те, що суб’єкти загроз експериментували із заміною P2PInfect на NoaBot під час останніх атак на сервери SSH, натякаючи на потенційні спроби переходу на спеціальне шкідливе програмне забезпечення.
Незважаючи на те, що NoaBot базується на Mirai, його модуль розповсюдження використовує сканер SSH для виявлення серверів, вразливих до словникових атак, що дозволяє йому здійснювати спроби грубої сили. Згодом зловмисне програмне забезпечення додає відкритий ключ SSH до файлу .ssh/authorized_keys, що забезпечує віддалений доступ. Крім того, NoaBot може завантажувати та запускати додаткові двійкові файли після успішної експлуатації або поширювати себе новим жертвам.
Примітно, що NoaBot скомпільовано з uClibc, що змінює спосіб виявлення зловмисного ПЗ механізмами безпеки. У той час як інші варіанти Mirai зазвичай ідентифікуються за допомогою підпису Mirai, сигнатури захисту від зловмисного програмного забезпечення NoaBot класифікують його як SSH-сканер або звичайний троян. На додаток до використання тактики обфускації для ускладнення аналізу, послідовність атак зрештою завершується розгортанням модифікованої версії майнера монет XMRig .
NoaBot оснащений розширеними функціями обфускації
Що відрізняє цей новий варіант від інших кампаній на основі ботнету Mirai , так це помітне упущення інформації, що стосується пулу майнінгу або адреси гаманця. Ця відсутність ускладнює оцінку прибутковості незаконної операції з майнінгу криптовалюти.
Майнер вживає додаткових запобіжних заходів, маскуючи свою конфігурацію та використовуючи налаштований пул майнінгу, стратегічно запобігаючи розкриттю адреси гаманця. Цей рівень готовності, який демонструють суб’єкти загрози, відображає цілеспрямовані спроби підвищити скритність і стійкість своїх операцій.
На даний момент дослідники кібербезпеки ідентифікували 849 IP-адрес жертв, розкиданих по всьому світу, причому значна концентрація відзначена в Китаї. Насправді ці інциденти складають майже 10% усіх атак на honeypots у 2023 році, що підкреслює глобальне охоплення та вплив цього конкретного варіанту.
