NoaBot 殭屍網絡

威脅行為者在加密貨幣挖礦計劃中使用了一個新出現的名為 NoaBot 的殭屍網絡，該網絡基於 Mirai 框架構建。據信，該行動至少從 2023 年初就開始了。NoaBot 擁有自傳播蠕蟲和 SSH 金鑰後門等功能，可以下載和執行補充二進位檔案或傳播到新目標。

Mirai 的程式碼仍在用於建立新的惡意軟體

Mirai 殭屍網路是一種臭名昭著的惡意軟體，主要針對物聯網 (IoT) 裝置。原始碼的發布使其他惡意行為者能夠創建自己的惡意軟體版本，從而導致基於 Mirai 的殭屍網路激增。原始程式碼的廣泛使用導致物聯網相關攻擊的數量和規模增加，給網路安全專業人員和設備製造商帶來了重大挑戰。事實上，自從 Mirai 殭屍網路被發現以來，已經出現了許多變種和衍生產品，每種都有自己的修改和增強功能。這些變體通常針對特定漏洞或專注於不同類型的物聯網設備。一些臭名昭著的基於 Mirai 的殭屍網絡包括 Reaper、Satori 和 Okiru。最近使用 Mirai 程式碼的殭屍網路之一是 InfectedSlurs，它能夠執行分散式阻斷服務 (DDoS) 攻擊。

NoaBot 殭屍網路的具體特徵

有跡象表明 NoaBot 與另一個與基於 Rust 的惡意軟體家族 P2PInfect 相關的殭屍網路活動之間存在潛在聯繫。這種特殊的惡意軟體最近進行了更新，重點是路由器和物聯網 (IoT) 裝置。這種關聯的基礎在於觀察到威脅行為者在最近對 SSH 伺服器的攻擊中嘗試用 P2PInfect 取代 NoaBot，這暗示了可能會轉向客製化惡意軟體。

儘管 NoaBot 植根於 Mirai，但其傳播器模組採用 SSH 掃描器來識別易受字典攻擊的伺服器，從而使其能夠進行暴力嘗試。隨後，惡意軟體將 SSH 公鑰新增至 .ssh/authorized_keys 檔案中，從而啟用遠端存取。或者，NoaBot 可以在成功利用漏洞後下載並執行其他二進位文件，或將自身傳播給新的受害者。

值得注意的是，NoaBot 是用 uClibc 編譯的，改變了安全引擎偵測惡意軟體的方式。雖然其他 Mirai 變體通常使用 Mirai 簽章進行識別，但 NoaBot 的反惡意軟體簽章將其歸類為 SSH 掃描程式或通用木馬。除了採用混淆策略使分析變得複雜之外，攻擊序列最終以部署XMRig硬幣挖掘器的修改版本而告終。

NoaBot 配備增強的混淆功能

這個新變種與其他基於Mirai殭屍網路的活動的不同之處在於它明顯遺漏了與礦池或錢包地址相關的資訊。這種缺失使得衡量非法加密貨幣挖礦業務的獲利能力變得具有挑戰性。

礦工透過混淆其配置並利用客製化的礦池採取額外的預防措施，從策略上防止錢包地址的暴露。威脅行為者所表現出的這種準備程度反映出他們有意增強其行動的隱密性和彈性。

截至目前，網路安全研究人員已識別出分佈在世界各地的 849 個受害者 IP 位址，其中大部分集中在中國。事實上，這些事件佔 2023 年所有針對蜜罐的攻擊的近 10%，凸顯了這種特定變體的全球影響力。