NoaBot – nowe złośliwe oprogramowanie oparte na kodzie Mirai
Niedawno powstały botnet o nazwie NoaBot, oparty na Mirai, był wykorzystywany przez podmioty zagrażające w kampanii wydobywania kryptowalut od początku 2023 r. Według raportu badacza bezpieczeństwa Stiv Kupchika NoaBot może pochwalić się takimi funkcjami, jak samorozprzestrzeniający się robak oraz backdoor klucza SSH, umożliwiający pobieranie i wykonywanie dodatkowych plików binarnych lub rozprzestrzenianie się na nowe ofiary.
Mirai, którego kod źródłowy wyciekł w 2016 r., dał początek różnym botnetom, z których najnowszy to InfectedSlurs, zdolny do przeprowadzania rozproszonych ataków typu „odmowa usługi” (DDoS). Istnieją przesłanki, że NoaBot może mieć powiązania z inną kampanią botnetu obejmującą rodzinę szkodliwego oprogramowania opartego na Rust, znaną jako P2PInfect, niedawno zaktualizowaną tak, aby atakowała routery i urządzenia IoT.
NoaBot korzysta ze skanera SSH w poszukiwaniu luk w zabezpieczeniach
Dowody sugerują, że ugrupowania zagrażające eksperymentowały z zastąpieniem NoaBot P2PInfect w ostatnich atakach na serwery SSH, co wskazuje na potencjalne wysiłki zmierzające do przejścia na niestandardowe złośliwe oprogramowanie. Pomimo tego, że NoaBot opiera się na Mirai, jego moduł rozsiewający wykorzystuje skaner SSH do identyfikowania serwerów podatnych na ataki słownikowe, co pozwala mu na użycie siły brute-force i dodanie klucza publicznego SSH w celu uzyskania zdalnego dostępu. Opcjonalnie może pobrać i uruchomić dodatkowe pliki binarne po udanej eksploatacji lub rozprzestrzenić się na nowe ofiary.
Warto zauważyć, że NoaBot wyróżnia się na tle innych kampanii opartych na botnecie Mirai, ponieważ w jego wariancie brakuje informacji o puli wydobywczej lub adresie portfela, co utrudnia ocenę rentowności nielegalnego programu wydobywania kryptowalut. Badacze zidentyfikowali 849 adresów IP ofiar, rozproszonych geograficznie na całym świecie, ze znaczną koncentracją w Chinach, odpowiadających za prawie 10% wszystkich ataków na Honeypoty w 2023 r.