NoaBot 僵尸网络

威胁行为者在加密货币挖矿计划中使用了一种新出现的名为 NoaBot 的僵尸网络，该网络基于 Mirai 框架构建。据信，该行动至少从 2023 年初就开始了。NoaBot 拥有自传播蠕虫和 SSH 密钥后门等功能，可以下载和执行补充二进制文件或传播到新目标。

Mirai 的代码仍在用于创建新的恶意软件

Mirai 僵尸网络是一种臭名昭著的恶意软件，主要针对物联网 (IoT) 设备。源代码的发布使其他恶意行为者能够创建自己的恶意软件版本，从而导致基于 Mirai 的僵尸网络激增。源代码的广泛使用导致物联网相关攻击的数量和规模增加，给网络安全专业人员和设备制造商带来了重大挑战。事实上，自 Mirai 僵尸网络被发现以来，已经出现了许多变种和衍生产品，每种都有自己的修改和增强功能。这些变体通常针对特定漏洞或专注于不同类型的物联网设备。一些臭名昭著的基于 Mirai 的僵尸网络包括 Reaper、Satori 和 Okiru。最近使用 Mirai 代码的僵尸网络之一是 InfectedSlurs，它能够执行分布式拒绝服务 (DDoS) 攻击。

NoaBot 僵尸网络的具体特征

有迹象表明 NoaBot 与另一个与基于 Rust 的恶意软件家族 P2PInfect 相关的僵尸网络活动之间存在潜在联系。这种特殊的恶意软件最近进行了更新，重点针对路由器和物联网 (IoT) 设备。这种联系的基础在于观察到威胁行为者在最近对 SSH 服务器的攻击中尝试用 P2PInfect 代替 NoaBot，这暗示了可能会转向定制恶意软件。

尽管 NoaBot 植根于 Mirai，但其传播器模块采用 SSH 扫描仪来识别易受字典攻击的服务器，从而使其能够进行暴力尝试。随后，恶意软件将 SSH 公钥添加到 .ssh/authorized_keys 文件中，从而启用远程访问。或者，NoaBot 可以在成功利用漏洞后下载并执行其他二进制文件，或者将自身传播给新的受害者。

值得注意的是，NoaBot 是用 uClibc 编译的，改变了安全引擎检测恶意软件的方式。虽然其他 Mirai 变体通常使用 Mirai 签名进行识别，但 NoaBot 的反恶意软件签名将其归类为 SSH 扫描程序或通用木马。除了采用混淆策略使分析变得复杂之外，攻击序列最终以部署XMRig硬币挖掘器的修改版本而告终。

NoaBot 配备增强的混淆功能

这个新变种与其他基于Mirai僵尸网络的活动的不同之处在于它明显遗漏了与矿池或钱包地址相关的信息。这种缺失使得衡量非法加密货币挖矿业务的盈利能力变得具有挑战性。

矿工通过混淆其配置并利用定制的矿池采取额外的预防措施，从战略上防止钱包地址的暴露。威胁行为者所表现出的这种准备程度反映出他们有意增强其行动的隐秘性和弹性。

截至目前，网络安全研究人员已识别出分布在世界各地的 849 个受害者 IP 地址，其中大部分集中在中国。事实上，这些事件占 2023 年所有针对蜜罐的攻击的近 10%，凸显了这种特定变体的全球影响力。