NoaBot — новая вредоносная программа на основе кода Mirai

Недавно появившийся ботнет под названием NoaBot, основанный на Mirai, с начала 2023 года используется злоумышленниками в кампании по майнингу криптовалют. Согласно отчету исследователя безопасности Стива Купчика, NoaBot может похвастаться такими функциями, как самораспространяющийся червь. и бэкдор с ключом SSH, позволяющий загружать и выполнять дополнительные двоичные файлы или передавать их новым жертвам.

Mirai, исходный код которого был раскрыт в 2016 году, породил различные ботнеты, последним из которых является InfectedSlurs, способный запускать распределенные атаки типа «отказ в обслуживании» (DDoS). Есть признаки того, что NoaBot может быть связан с другой кампанией ботнетов, включающей семейство вредоносных программ на основе Rust, известное как P2PInfect, недавно обновленное для атак на маршрутизаторы и устройства IoT.

NoaBot использует SSH-сканер для поиска уязвимостей

Имеющиеся данные свидетельствуют о том, что злоумышленники экспериментировали с заменой NoaBot P2PInfect в недавних атаках на SSH-серверы, намекая на потенциальные попытки перехода на специальное вредоносное ПО. Несмотря на основу NoaBot Mirai, его модуль распространения использует SSH-сканер для выявления серверов, уязвимых для атак по словарю, что позволяет ему перебирать данные и добавлять открытый ключ SSH для удаленного доступа. При желании он может загружать и выполнять дополнительные двоичные файлы после успешной эксплуатации или распространяться на новых жертв.

Примечательно, что NoaBot выделяется среди других кампаний, основанных на ботнетах Mirai, поскольку в его варианте отсутствует информация о пуле майнинга или адресе кошелька, что затрудняет оценку прибыльности схемы незаконного майнинга криптовалюты. Исследователи выявили 849 IP-адресов жертв, географически разбросанных по всему миру, значительная часть которых находится в Китае, что составляет почти 10% всех атак на его приманки в 2023 году.