NoaBot Botnet
Trusselaktører har brugt et nyligt opstået botnet ved navn NoaBot, som er bygget på Mirai-rammen, i et krypto-mine-initiativ. Det menes, at operationen har været i gang i det mindste siden starten af 2023. NoaBot kan prale af funktioner såsom en selvspredende orm og en SSH-nøgle bagdør, der muliggør download og eksekvering af supplerende binære filer eller udbredelse til nye mål.
Indholdsfortegnelse
Mirai's kode bliver stadig brugt til at skabe ny malware
Mirai-botnettet er en berygtet malware-stamme, der primært er rettet mod Internet of Things (IoT)-enheder. Frigivelsen af kildekoden gjorde det muligt for andre ondsindede aktører at skabe deres egne versioner af malwaren, hvilket førte til en spredning af Mirai-baserede botnets. Denne udbredte tilgængelighed af kildekoden bidrog til en stigning i antallet og omfanget af IoT-relaterede angreb, hvilket udgør betydelige udfordringer for cybersikkerhedsprofessionelle og enhedsproducenter. Faktisk er adskillige varianter og spin-offs af Mirai-botnettet dukket op siden dets opdagelse, hver med sine egne modifikationer og forbedringer. Disse varianter er ofte rettet mod specifikke sårbarheder eller fokuserer på forskellige typer IoT-enheder. Nogle af de berygtede Mirai-baserede botnets inkluderer Reaper, Satori og Okiru. Et af de nyere botnets, der bruger Mirais kode, er InfectedSlurs, som er i stand til at udføre Distributed Denial-of-Service (DDoS) angreb.
Specifikke kendetegn ved NoaBot Botnet
Der er indikationer, der tyder på en potentiel forbindelse mellem NoaBot og en anden botnet-kampagne forbundet med en Rust-baseret malware-familie kaldet P2PInfect. Denne særlige malware gennemgik for nylig en opdatering for at fokusere på målretning mod routere og Internet of Things (IoT) enheder. Grundlaget for denne forbindelse ligger i den observation, at trusselsaktører har eksperimenteret med at erstatte P2PInfect med NoaBot i de seneste angreb på SSH-servere, hvilket antyder potentielle bestræbelser på at gå over til tilpasset malware.
På trods af, at NoaBot er forankret i Mirai, anvender dets spredermodul en SSH-scanner til at identificere servere, der er sårbare over for ordbogsangreb, hvilket gør det muligt for den at udføre brute-force-forsøg. Efterfølgende tilføjer malwaren en offentlig SSH-nøgle til .ssh/authorized_keys-filen, hvilket muliggør fjernadgang. Eventuelt kan NoaBot downloade og udføre yderligere binære filer efter vellykket udnyttelse eller udbrede sig til nye ofre.
NoaBot er især kompileret med uClibc, hvilket ændrer, hvordan sikkerhedsmotorer registrerer malware. Mens andre Mirai-varianter typisk identificeres ved hjælp af en Mirai-signatur, kategoriserer NoaBots anti-malware-signaturer den som en SSH-scanner eller en generisk trojaner. Ud over at bruge sløringstaktikker til at komplicere analyse, kulminerer angrebssekvensen i sidste ende i implementeringen af en modificeret version af XMRig møntminer.
NoaBot er udstyret med forbedrede sløringsfunktioner
Det, der adskiller denne nye variant fra andre Mirai botnet-baserede kampagner, er dens bemærkelsesværdige udeladelse af oplysninger vedrørende minepuljen eller tegnebogens adresse. Dette fravær gør det udfordrende at måle rentabiliteten af den ulovlige cryptocurrency-minedrift.
Minearbejderen tager yderligere forholdsregler ved at sløre dens konfiguration og bruge en tilpasset minepulje, hvilket strategisk forhindrer eksponeringen af tegnebogens adresse. Dette beredskabsniveau, som trusselsaktørerne udviser, afspejler en bevidst indsats for at øge snik- og modstandsdygtigheden i deres operationer.
Indtil videre har cybersikkerhedsforskere identificeret 849 ofres IP-adresser spredt over hele verden, med betydelige koncentrationer noteret i Kina. Faktisk udgør disse hændelser næsten 10 % af alle angreb mod honeypots i 2023, hvilket understreger den globale rækkevidde og virkningen af denne særlige variant.
