NoaBot - en ny malware baseret på Mirai-kode

Et nyligt opstået botnet ved navn NoaBot, som er baseret på Mirai, har været ansat af trusselsaktører i en kryptominekampagne siden begyndelsen af 2023. Ifølge en rapport fra sikkerhedsforsker Stiv Kupchik kan NoaBot prale af funktioner såsom en selvspredende orm og en SSH-nøgle bagdør, der muliggør download og udførelse af yderligere binære filer eller udbredelse til nye ofre.

Mirai, hvis kildekode blev lækket i 2016, har givet anledning til forskellige botnets, hvor det seneste er InfectedSlurs, der er i stand til at lancere distribuerede denial-of-service (DDoS) angreb. Der er indikationer på, at NoaBot kan have forbindelser til en anden botnet-kampagne, der involverer en Rust-baseret malware-familie kendt som P2PInfect, for nylig opdateret til at målrette mod routere og IoT-enheder.

NoaBot er afhængig af SSH-scanner for at lede efter sårbarheder

Beviser tyder på, at trusselsaktører har eksperimenteret med at erstatte P2PInfect med NoaBot i de seneste angreb på SSH-servere, hvilket antyder potentielle bestræbelser på at skifte til tilpasset malware. På trods af NoaBots Mirai-fundament, anvender dets spredermodul en SSH-scanner til at identificere servere, der er sårbare over for ordbogsangreb, hvilket gør det muligt at brute-force og tilføje en SSH offentlig nøgle til fjernadgang. Eventuelt kan den downloade og udføre yderligere binære filer efter vellykket udnyttelse eller spredes til nye ofre.

NoaBot skiller sig især ud fra andre Mirai botnet-baserede kampagner, fordi dens variant mangler information om minepuljen eller tegnebogens adresse, hvilket gør det udfordrende at vurdere rentabiliteten af den ulovlige cryptocurrency-mineordning. Forskere har identificeret 849 ofres IP-adresser, geografisk spredt over hele verden, med en betydelig koncentration i Kina, der tegner sig for næsten 10% af alle angreb mod dets honeypots i 2023.