NoaBot－基於 Mirai 程式碼的新型惡意軟體

最近出現的名為 NoaBot 的殭屍網路基於 Mirai，自 2023 年初以來一直被威脅行為者用於加密貨幣挖礦活動。根據安全研究員 Stiv Kupchik 的報告，NoaBot 擁有自我傳播蠕蟲等功能以及SSH 金鑰後門，可以下載和執行其他二進位檔案或傳播給新的受害者。

Mirai 的源代碼於 2016 年被洩露，已催生了各種殭屍網絡，其中最新的是 InfectedSlurs，能夠發動分散式阻斷服務 (DDoS) 攻擊。有跡象表明，NoaBot 可能與另一個殭屍網路活動有聯繫，該活動涉及基於 Rust 的惡意軟體系列（稱為 P2PInfect），該系列最近更新為針對路由器和物聯網設備。

NoaBot 依靠 SSH 掃描器來尋找漏洞

有證據表明，威脅行為者在最近對 SSH 伺服器的攻擊中嘗試用 P2PInfect 取代 NoaBot，這暗示了可能會轉向客製化惡意軟體。儘管 NoaBot 擁有 Mirai 基礎，但其擴展器模組仍採用 SSH 掃描器來識別易受字典攻擊的伺服器，從而允許其暴力破解並添加 SSH 公鑰以進行遠端存取。或者，它可以在成功利用或傳播給新受害者後下載並執行其他二進位檔案。

值得注意的是，NoaBot 從其他基於 Mirai 殭屍網絡的活動中脫穎而出，因為其變體缺乏有關礦池或錢包地址的信息，這使得評估非法加密貨幣挖礦計劃的盈利能力變得困難。研究人員已識別出 849 個受害者 IP 位址，分佈在世界各地，其中主要集中在中國，佔 2023 年針對其蜜罐的所有攻擊的近 10%。