NoaBot - un nouveau malware basé sur Mirai Code
Un botnet récemment apparu nommé NoaBot, basé sur Mirai, est utilisé par des acteurs malveillants dans une campagne de crypto-minage depuis le début de 2023. Selon un rapport du chercheur en sécurité Stiv Kupchik, NoaBot possède des fonctionnalités telles qu'un ver auto-propagatif. et une porte dérobée de clé SSH, permettant le téléchargement et l'exécution de binaires supplémentaires ou la propagation à de nouvelles victimes.
Mirai, dont le code source a été divulgué en 2016, a donné naissance à divers botnets, le dernier en date étant InfectedSlurs, capable de lancer des attaques par déni de service distribué (DDoS). Certains éléments indiquent que NoaBot pourrait être connecté à une autre campagne de botnet impliquant une famille de logiciels malveillants basés sur Rust connue sous le nom de P2PInfect, récemment mise à jour pour cibler les routeurs et les appareils IoT.
NoaBot s'appuie sur SSH Scanner pour rechercher les vulnérabilités
Les éléments de preuve suggèrent que les acteurs malveillants ont expérimenté la substitution de P2PInfect à NoaBot lors d’attaques récentes sur des serveurs SSH, faisant allusion à des efforts potentiels de transition vers des logiciels malveillants personnalisés. Malgré la fondation Mirai de NoaBot, son module d'épandage utilise un scanner SSH pour identifier les serveurs vulnérables aux attaques par dictionnaire, lui permettant d'utiliser la force brute et d'ajouter une clé publique SSH pour l'accès à distance. En option, il peut télécharger et exécuter des fichiers binaires supplémentaires après une exploitation réussie ou se propager à de nouvelles victimes.
Notamment, NoaBot se distingue des autres campagnes basées sur le botnet Mirai car sa variante manque d'informations sur le pool de minage ou l'adresse du portefeuille, ce qui rend difficile l'évaluation de la rentabilité du système de minage illicite de crypto-monnaie. Les chercheurs ont identifié 849 adresses IP de victimes, géographiquement dispersées dans le monde, avec une concentration importante en Chine, représentant près de 10 % de toutes les attaques contre ses honeypots en 2023.