NoaBot – nauja kenkėjiška programa, pagrįsta Mirai kodu

Neseniai atsiradusį robotų tinklą „NoaBot“, kuris yra pagrįstas „Mirai“, grėsmės veikėjai naudoja kriptovaliutų gavybos kampanijoje nuo 2023 m. pradžios. Remiantis saugumo tyrinėtojo Stivo Kupčiko ataskaita, „NoaBot“ gali pasigirti tokiomis savybėmis kaip savaime plintantis kirminas. ir SSH rakto užpakalinės durys, leidžiančios atsisiųsti ir vykdyti papildomus dvejetainius failus arba perduoti naujiems aukoms.

Mirai, kurio šaltinio kodas buvo nutekintas 2016 m., sukūrė įvairius robotų tinklus, iš kurių naujausias yra „InfectedSlur“, galintis paleisti paskirstytas paslaugų atsisakymo (DDoS) atakas. Yra požymių, kad „NoaBot“ gali turėti ryšių su kita „botnet“ kampanija, susijusia su „Rust“ pagrindu veikiančia kenkėjiškų programų šeima, žinoma kaip „P2PInfect“, kuri neseniai buvo atnaujinta, kad būtų nukreipta į maršrutizatorius ir daiktų interneto įrenginius.

„NoaBot“ naudoja SSH skaitytuvą, kad ieškotų pažeidžiamumų

Įrodymai rodo, kad grėsmės veikėjai neseniai išpuolių prieš SSH serverius metu eksperimentavo pakeisdami P2PInfect vietoj NoaBot, užsimindami apie galimas pastangas pereiti prie pritaikytos kenkėjiškos programos. Nepaisant „NoaBot“ „Mirai“ pagrindo, jo sklaidos modulyje naudojamas SSH skaitytuvas, skirtas identifikuoti serverius, pažeidžiamus žodyno atakų, todėl jis gali atlikti žiaurią jėgą ir pridėti SSH viešąjį raktą nuotolinei prieigai. Pasirinktinai jis gali atsisiųsti ir vykdyti papildomus dvejetainius failus po sėkmingo išnaudojimo arba išplitimo naujoms aukoms.

Pažymėtina, kad „NoaBot“ išsiskiria iš kitų Mirai botnetu pagrįstų kampanijų, nes jo variante trūksta informacijos apie kasybos telkinį ar piniginės adresą, todėl sunku įvertinti neteisėtos kriptovaliutos kasybos schemos pelningumą. Tyrėjai nustatė 849 aukų IP adresus, geografiškai išsklaidytus visame pasaulyje, kurių didžiausia koncentracija yra Kinijoje, o tai sudaro beveik 10% visų atakų prieš jos medaus puodus 2023 m.