La botnet NoaBot
Gli autori delle minacce hanno utilizzato una botnet appena emersa denominata NoaBot, basata sul framework Mirai, in un'iniziativa di crypto-mining. Si ritiene che l'operazione sia in corso almeno dall'inizio del 2023. NoaBot vanta funzionalità come un worm che si diffonde automaticamente e una backdoor con chiave SSH, che consente il download e l'esecuzione di file binari supplementari o la propagazione su nuovi obiettivi.
Sommario
Il codice di Mirai viene ancora utilizzato per la creazione di nuovi malware
La botnet Mirai è un noto ceppo di malware che prende di mira principalmente i dispositivi Internet of Things (IoT). Il rilascio del codice sorgente ha consentito ad altri autori malintenzionati di creare le proprie versioni del malware, portando a una proliferazione di botnet basate su Mirai. Questa diffusa disponibilità del codice sorgente ha contribuito ad un aumento del numero e della portata degli attacchi legati all’IoT, ponendo sfide significative ai professionisti della sicurezza informatica e ai produttori di dispositivi. Dalla sua scoperta, infatti, sono emerse numerose varianti e derivati della botnet Mirai, ciascuno con le proprie modifiche e miglioramenti. Queste varianti spesso prendono di mira vulnerabilità specifiche o si concentrano su diversi tipi di dispositivi IoT. Alcune delle famigerate botnet basate su Mirai includono Reaper, Satori e Okiru. Una delle botnet più recenti che utilizzano il codice Mirai è InfectedSlurs, che è in grado di eseguire attacchi DDoS (Distributed Denial-of-Service).
Caratteristiche specifiche della botnet NoaBot
Ci sono indicazioni che suggeriscono una potenziale connessione tra NoaBot e un'altra campagna botnet associata a una famiglia di malware basata su Rust chiamata P2PInfect. Questo particolare malware è stato recentemente sottoposto a un aggiornamento per concentrarsi sul targeting di router e dispositivi Internet of Things (IoT). La base di questa connessione risiede nell’osservazione che gli autori delle minacce hanno sperimentato la sostituzione di P2PInfect con NoaBot nei recenti attacchi ai server SSH, suggerendo potenziali sforzi per passare a malware personalizzato.
Nonostante NoaBot sia radicato a Mirai, il suo modulo di diffusione utilizza uno scanner SSH per identificare i server vulnerabili agli attacchi del dizionario, consentendogli di condurre tentativi di forza bruta. Successivamente, il malware aggiunge una chiave pubblica SSH al file .ssh/authorized_keys, consentendo l'accesso remoto. Facoltativamente, NoaBot può scaricare ed eseguire file binari aggiuntivi dopo uno sfruttamento riuscito o propagarsi a nuove vittime.
In particolare, NoaBot è compilato con uClibc, alterando il modo in cui i motori di sicurezza rilevano il malware. Mentre altre varianti Mirai vengono generalmente identificate utilizzando una firma Mirai, le firme anti-malware di NoaBot lo classificano come uno scanner SSH o un Trojan generico. Oltre a impiegare tattiche di offuscamento per complicare l'analisi, la sequenza di attacco culmina infine nell'implementazione di una versione modificata del minatore di monete XMRig .
NoaBot è dotato di funzionalità di offuscamento avanzate
Ciò che distingue questa nuova variante dalle altre campagne basate sulla botnet Mirai è la notevole omissione di informazioni relative al pool minerario o all’indirizzo del portafoglio. Questa assenza rende difficile valutare la redditività dell’operazione illecita di mining di criptovaluta.
Il minatore prende ulteriori precauzioni offuscando la propria configurazione e utilizzando un pool minerario personalizzato, impedendo strategicamente l'esposizione dell'indirizzo del portafoglio. Questo livello di preparazione dimostrato dagli autori delle minacce riflette uno sforzo deliberato per migliorare la segretezza e la resilienza delle loro operazioni.
Ad oggi, i ricercatori di sicurezza informatica hanno identificato 849 indirizzi IP delle vittime sparsi in tutto il mondo, con concentrazioni significative rilevate in Cina. In effetti, questi incidenti costituiscono quasi il 10% di tutti gli attacchi contro gli honeypot nel 2023, sottolineando la portata e l’impatto globali di questa particolare variante.
