Mạng botnet NoaBot
Những kẻ đe dọa đã sử dụng một mạng botnet mới nổi có tên NoaBot, được xây dựng dựa trên khung Mirai, trong một sáng kiến khai thác tiền điện tử. Người ta tin rằng hoạt động này đã diễn ra ít nhất là từ đầu năm 2023. NoaBot tự hào có các tính năng như sâu tự lây lan và cửa sau khóa SSH, cho phép tải xuống và thực thi các tệp nhị phân bổ sung hoặc truyền bá sang các mục tiêu mới.
Mục lục
Mã của Mirai vẫn đang được sử dụng để tạo phần mềm độc hại mới
Mạng botnet Mirai là một loại phần mềm độc hại khét tiếng chủ yếu nhắm vào các thiết bị Internet of Things (IoT). Việc phát hành mã nguồn đã cho phép các tác nhân độc hại khác tạo ra các phiên bản phần mềm độc hại của riêng họ, dẫn đến sự gia tăng nhanh chóng của các botnet dựa trên Mirai. Tính sẵn có rộng rãi của mã nguồn này đã góp phần làm tăng số lượng và quy mô của các cuộc tấn công liên quan đến IoT, đặt ra những thách thức đáng kể cho các chuyên gia an ninh mạng và nhà sản xuất thiết bị. Thật vậy, nhiều biến thể và phiên bản phụ của mạng botnet Mirai đã xuất hiện kể từ khi nó được phát hiện, mỗi biến thể đều có những sửa đổi và cải tiến riêng. Các biến thể này thường nhắm vào các lỗ hổng cụ thể hoặc tập trung vào các loại thiết bị IoT khác nhau. Một số botnet dựa trên Mirai khét tiếng bao gồm Reaper, Satori và Okiru. Một trong những botnet gần đây sử dụng mã của Mirai là InfectedSlurs, có khả năng thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS).
Đặc điểm cụ thể của NoaBot Botnet
Có những dấu hiệu cho thấy có mối liên hệ tiềm ẩn giữa NoaBot và một chiến dịch botnet khác liên quan đến họ phần mềm độc hại dựa trên Rust có tên là P2PInfect. Phần mềm độc hại cụ thể này gần đây đã trải qua một bản cập nhật để tập trung vào các bộ định tuyến và thiết bị Internet of Things (IoT). Cơ sở cho kết nối này nằm ở việc quan sát thấy các tác nhân đe dọa đã thử nghiệm thay thế P2PInfect cho NoaBot trong các cuộc tấn công gần đây vào máy chủ SSH, gợi ý về những nỗ lực tiềm năng nhằm chuyển đổi sang phần mềm độc hại tùy chỉnh.
Mặc dù NoaBot được root bằng Mirai, mô-đun phát tán của nó sử dụng máy quét SSH để xác định các máy chủ dễ bị tấn công từ điển, cho phép nó tiến hành các nỗ lực bạo lực. Sau đó, phần mềm độc hại thêm khóa chung SSH vào tệp .ssh/authorized_keys, cho phép truy cập từ xa. Tùy chọn, NoaBot có thể tải xuống và thực thi các tệp nhị phân bổ sung sau khi khai thác thành công hoặc tự lan truyền cho nạn nhân mới.
Đáng chú ý, NoaBot được biên dịch bằng uClibc, thay đổi cách các công cụ bảo mật phát hiện phần mềm độc hại. Trong khi các biến thể Mirai khác thường được xác định bằng chữ ký Mirai, chữ ký chống phần mềm độc hại của NoaBot phân loại nó là máy quét SSH hoặc Trojan chung. Ngoài việc sử dụng các chiến thuật che giấu để làm phức tạp việc phân tích, chuỗi tấn công cuối cùng còn lên đến đỉnh điểm là việc triển khai phiên bản sửa đổi của công cụ khai thác tiền xu XMRig .
NoaBot được trang bị các tính năng che giấu nâng cao
Điều khiến biến thể mới này khác biệt so với các chiến dịch dựa trên botnet Mirai khác là sự thiếu sót đáng chú ý của thông tin liên quan đến nhóm khai thác hoặc địa chỉ ví. Sự vắng mặt này khiến việc đánh giá lợi nhuận của hoạt động khai thác tiền điện tử bất hợp pháp trở nên khó khăn.
Công cụ khai thác thực hiện các biện pháp phòng ngừa bổ sung bằng cách làm xáo trộn cấu hình của nó và sử dụng nhóm khai thác tùy chỉnh, ngăn chặn một cách chiến lược việc lộ địa chỉ ví. Mức độ chuẩn bị này của các tác nhân đe dọa phản ánh nỗ lực có chủ ý nhằm tăng cường khả năng tàng hình và khả năng phục hồi trong hoạt động của chúng.
Tính đến thời điểm hiện tại, các nhà nghiên cứu an ninh mạng đã xác định được 849 địa chỉ IP nạn nhân nằm rải rác trên toàn thế giới, tập trung đáng kể ở Trung Quốc. Trên thực tế, những sự cố này chiếm gần 10% tổng số cuộc tấn công chống lại honeypots vào năm 2023, nhấn mạnh phạm vi tiếp cận và tác động toàn cầu của biến thể cụ thể này.
