NoaBot - en ny skadelig programvare basert på Mirai-kode

Et nylig oppstått botnett ved navn NoaBot, som er basert på Mirai, har vært ansatt av trusselaktører i en kryptogruvekampanje siden begynnelsen av 2023. Ifølge en rapport fra sikkerhetsforsker Stiv Kupchik kan NoaBot skryte av funksjoner som en selvspredende orm og en SSH-nøkkel bakdør, som muliggjør nedlasting og kjøring av ytterligere binærfiler eller spredning til nye ofre.

Mirai, hvis kildekode ble lekket i 2016, har gitt opphav til ulike botnett, med det siste som er InfectedSlurs, som er i stand til å lansere distribuert denial-of-service (DDoS) angrep. Det er indikasjoner på at NoaBot kan ha forbindelser til en annen botnett-kampanje som involverer en Rust-basert skadevarefamilie kjent som P2PInfect, nylig oppdatert for å målrette rutere og IoT-enheter.

NoaBot er avhengig av SSH-skanner for å se etter sårbarheter

Bevis tyder på at trusselaktører har eksperimentert med å erstatte P2PInfect med NoaBot i nylige angrep på SSH-servere, og antyder potensielle forsøk på å gå over til tilpasset skadelig programvare. Til tross for NoaBots Mirai-grunnlag, bruker spredermodulen en SSH-skanner for å identifisere servere som er sårbare for ordbokangrep, slik at den kan brute-force og legge til en offentlig SSH-nøkkel for ekstern tilgang. Eventuelt kan den laste ned og kjøre flere binærfiler etter vellykket utnyttelse eller spre seg til nye ofre.

Spesielt skiller NoaBot seg ut fra andre Mirai botnett-baserte kampanjer fordi varianten mangler informasjon om gruvebassenget eller lommebokadressen, noe som gjør det utfordrende å vurdere lønnsomheten til den ulovlige gruveordningen for kryptovaluta. Forskere har identifisert 849 offer-IP-adresser, geografisk spredt over hele verden, med en betydelig konsentrasjon i Kina, som står for nesten 10 % av alle angrep mot dets honningkrukker i 2023.