NoaBot——基于 Mirai 代码的新型恶意软件

最近出现的名为 NoaBot 的僵尸网络基于 Mirai，自 2023 年初以来一直被威胁行为者用于加密货币挖矿活动。根据安全研究员 Stiv Kupchik 的报告，NoaBot 拥有自我传播蠕虫等功能以及 SSH 密钥后门，可以下载和执行其他二进制文件或传播给新的受害者。

Mirai 的源代码于 2016 年被泄露，已催生了各种僵尸网络，其中最新的是 InfectedSlurs，能够发起分布式拒绝服务 (DDoS) 攻击。有迹象表明，NoaBot 可能与另一个僵尸网络活动有联系，该活动涉及基于 Rust 的恶意软件系列（称为 P2PInfect），该系列最近更新为针对路由器和物联网设备。

NoaBot 依靠 SSH 扫描器来查找漏洞

有证据表明，威胁行为者在最近对 SSH 服务器的攻击中尝试用 P2PInfect 代替 NoaBot，这暗示了可能会转向定制恶意软件。尽管 NoaBot 拥有 Mirai 基础，但其扩展器模块仍采用 SSH 扫描仪来识别易受字典攻击的服务器，从而允许其暴力破解并添加 SSH 公钥以进行远程访问。或者，它可以在成功利用或传播给新受害者后下载并执行其他二进制文件。

值得注意的是，NoaBot 从其他基于 Mirai 僵尸网络的活动中脱颖而出，因为其变体缺乏有关矿池或钱包地址的信息，这使得评估非法加密货币挖矿计划的盈利能力变得困难。研究人员已识别出 849 个受害者 IP 地址，分布在世界各地，其中主要集中在中国，占 2023 年针对其蜜罐的所有攻击的近 10%。