NoaBot - ένα νέο κακόβουλο λογισμικό που βασίζεται στον κώδικα Mirai
Ένα botnet που εμφανίστηκε πρόσφατα με το όνομα NoaBot, το οποίο βασίζεται στο Mirai, έχει χρησιμοποιηθεί από παράγοντες απειλών σε μια εκστρατεία εξόρυξης κρυπτονομισμάτων από τις αρχές του 2023. Σύμφωνα με μια έκθεση του ερευνητή ασφαλείας Stiv Kupchik, το NoaBot διαθέτει χαρακτηριστικά όπως ένα σκουλήκι που διαχέεται μόνο του και μια κερκόπορτα κλειδιού SSH, που επιτρέπει τη λήψη και την εκτέλεση πρόσθετων δυαδικών αρχείων ή τη διάδοση σε νέα θύματα.
Το Mirai, του οποίου ο πηγαίος κώδικας διέρρευσε το 2016, έχει δημιουργήσει διάφορα botnet, με το τελευταίο να είναι το InfectedSlurs, ικανό να εκτοξεύει επιθέσεις κατανεμημένης άρνησης υπηρεσίας (DDoS). Υπάρχουν ενδείξεις ότι το NoaBot μπορεί να έχει συνδέσεις με μια άλλη καμπάνια botnet που περιλαμβάνει μια οικογένεια κακόβουλου λογισμικού που βασίζεται σε Rust, γνωστή ως P2PInfect, η οποία ενημερώθηκε πρόσφατα για να στοχεύει δρομολογητές και συσκευές IoT.
Το NoaBot βασίζεται στον σαρωτή SSH για να αναζητήσει τρωτά σημεία
Τα στοιχεία δείχνουν ότι οι φορείς απειλών έχουν πειραματιστεί με την υποκατάσταση του P2PInfect με το NoaBot σε πρόσφατες επιθέσεις σε διακομιστές SSH, υπονοώντας πιθανές προσπάθειες μετάβασης σε προσαρμοσμένο κακόβουλο λογισμικό. Παρά το θεμέλιο Mirai του NoaBot, η μονάδα διασποράς του χρησιμοποιεί έναν σαρωτή SSH για τον εντοπισμό διακομιστών που είναι ευάλωτοι σε επιθέσεις λεξικών, επιτρέποντάς του να ασκεί ωμή βία και να προσθέτει ένα δημόσιο κλειδί SSH για απομακρυσμένη πρόσβαση. Προαιρετικά, μπορεί να κατεβάσει και να εκτελέσει επιπλέον δυαδικά αρχεία μετά από επιτυχή εκμετάλλευση ή να εξαπλωθεί σε νέα θύματα.
Συγκεκριμένα, το NoaBot ξεχωρίζει από άλλες καμπάνιες που βασίζονται σε botnet Mirai επειδή η παραλλαγή του δεν διαθέτει πληροφορίες σχετικά με την ομάδα εξόρυξης ή τη διεύθυνση πορτοφολιού, γεγονός που καθιστά δύσκολη την αξιολόγηση της κερδοφορίας του παράνομου συστήματος εξόρυξης κρυπτονομισμάτων. Οι ερευνητές εντόπισαν 849 διευθύνσεις IP θυμάτων, γεωγραφικά διασκορπισμένες σε όλο τον κόσμο, με σημαντική συγκέντρωση στην Κίνα, που αντιπροσωπεύουν σχεδόν το 10% όλων των επιθέσεων κατά των honeypots της το 2023.