NoaBot - en ny skadlig programvara baserad på Mirai Code

Ett nyligen uppstått botnät vid namn NoaBot, som är baserat på Mirai, har använts av hotaktörer i en kryptogruvkampanj sedan början av 2023. Enligt en rapport från säkerhetsforskaren Stiv Kupchik har NoaBot funktioner som en självspridande mask och en SSH-nyckel bakdörr, som möjliggör nedladdning och exekvering av ytterligare binärer eller spridning till nya offer.

Mirai, vars källkod läckte ut 2016, har gett upphov till olika botnät, där den senaste är InfectedSlurs, som kan lansera DDoS-attacker (distributed denial-of-service). Det finns indikationer på att NoaBot kan ha kopplingar till en annan botnät-kampanj som involverar en Rust-baserad skadlig programvara känd som P2PInfect, nyligen uppdaterad för att rikta in sig på routrar och IoT-enheter.

NoaBot förlitar sig på SSH-skanner för att leta efter sårbarheter

Bevis tyder på att hotaktörer har experimenterat med att ersätta NoaBot med P2PInfect i de senaste attackerna på SSH-servrar, vilket tyder på potentiella försök att övergå till anpassad skadlig programvara. Trots NoaBots Mirai-grund, använder dess spridningsmodul en SSH-skanner för att identifiera servrar som är sårbara för ordboksattacker, vilket gör att den kan brute-force och lägga till en offentlig SSH-nyckel för fjärråtkomst. Alternativt kan den ladda ner och köra ytterligare binärer efter framgångsrik exploatering eller spridas till nya offer.

Noterbart är att NoaBot skiljer sig från andra Mirai botnät-baserade kampanjer eftersom dess variant saknar information om gruvpoolen eller plånboksadressen, vilket gör det utmanande att bedöma lönsamheten för det olagliga brytningssystemet för kryptovaluta. Forskare har identifierat 849 offer-IP-adresser, geografiskt spridda över hela världen, med en betydande koncentration i Kina, vilket står för nästan 10 % av alla attacker mot dess honungskrukor 2023.