नोआबॉट बॉटनेट
ख़तरनाक अभिनेताओं ने क्रिप्टो-माइनिंग पहल में NoaBot नाम के एक नए उभरे हुए बॉटनेट को नियोजित किया है, जो मिराई ढांचे पर बनाया गया है। ऐसा माना जाता है कि यह ऑपरेशन कम से कम 2023 की शुरुआत से ही चल रहा है। NoaBot में स्व-फैलाने वाला वर्म और SSH कुंजी बैकडोर जैसी विशेषताएं हैं, जो पूरक बायनेरिज़ के डाउनलोड और निष्पादन या नए लक्ष्यों तक प्रसार को सक्षम बनाता है।
विषयसूची
मिराई का कोड अभी भी नए मैलवेयर के निर्माण के लिए उपयोग किया जा रहा है
मिराई बॉटनेट एक कुख्यात मैलवेयर स्ट्रेन है जो मुख्य रूप से इंटरनेट ऑफ थिंग्स (IoT) उपकरणों को लक्षित करता है। स्रोत कोड की रिलीज़ ने अन्य दुर्भावनापूर्ण अभिनेताओं को मैलवेयर के अपने संस्करण बनाने में सक्षम बनाया, जिससे मिराई-आधारित बॉटनेट का प्रसार हुआ। स्रोत कोड की इस व्यापक उपलब्धता ने IoT-संबंधित हमलों की संख्या और पैमाने में वृद्धि में योगदान दिया, जिससे साइबर सुरक्षा पेशेवरों और डिवाइस निर्माताओं के लिए महत्वपूर्ण चुनौतियाँ पैदा हुईं। दरअसल, मिराई बॉटनेट की खोज के बाद से इसके कई संस्करण और स्पिन-ऑफ सामने आए हैं, जिनमें से प्रत्येक के अपने संशोधन और संवर्द्धन हैं। ये वेरिएंट अक्सर विशिष्ट कमजोरियों को लक्षित करते हैं या विभिन्न प्रकार के IoT उपकरणों पर ध्यान केंद्रित करते हैं। मिराई-आधारित कुछ कुख्यात बॉटनेट में रीपर, सटोरी और ओकिरू शामिल हैं। मिराई के कोड का उपयोग करने वाले नवीनतम बॉटनेट में से एक इंफेक्टेडस्लर्स है, जो डिस्ट्रीब्यूटेड डेनियल-ऑफ-सर्विस (डीडीओएस) हमलों को अंजाम देने में सक्षम है।
NoaBot बॉटनेट की विशिष्ट विशेषताएं
ऐसे संकेत हैं जो NoaBot और P2PInfect नामक रस्ट-आधारित मैलवेयर परिवार से जुड़े एक अन्य बॉटनेट अभियान के बीच संभावित संबंध का सुझाव देते हैं। इस विशेष मैलवेयर को हाल ही में राउटर और इंटरनेट ऑफ थिंग्स (IoT) उपकरणों को लक्षित करने पर ध्यान केंद्रित करने के लिए अपडेट किया गया है। इस संबंध का आधार इस अवलोकन में निहित है कि एसएसएच सर्वर पर हाल के हमलों में खतरे वाले अभिनेताओं ने NoaBot के लिए P2PInfect को प्रतिस्थापित करने का प्रयोग किया है, जो कस्टम मैलवेयर में संक्रमण के संभावित प्रयासों की ओर इशारा करता है।
NoaBot की जड़ें मिराई में होने के बावजूद, इसका स्प्रेडर मॉड्यूल शब्दकोश हमलों के प्रति संवेदनशील सर्वरों की पहचान करने के लिए एक SSH स्कैनर का उपयोग करता है, जिससे यह क्रूर-बल प्रयासों का संचालन करने की अनुमति देता है। इसके बाद, मैलवेयर रिमोट एक्सेस को सक्षम करते हुए .ssh/authorized_keys फ़ाइल में एक SSH सार्वजनिक कुंजी जोड़ता है। वैकल्पिक रूप से, NoaBot सफल शोषण के बाद अतिरिक्त बायनेरिज़ को डाउनलोड और निष्पादित कर सकता है या नए पीड़ितों के लिए खुद को प्रचारित कर सकता है।
विशेष रूप से, NoaBot को uClibc के साथ संकलित किया गया है, जिससे सुरक्षा इंजन मैलवेयर का पता लगाने के तरीके को बदल देते हैं। जबकि अन्य मिराई वेरिएंट को आम तौर पर मिराई हस्ताक्षर का उपयोग करके पहचाना जाता है, नोआबॉट के एंटी-मैलवेयर हस्ताक्षर इसे एसएसएच स्कैनर या जेनेरिक ट्रोजन के रूप में वर्गीकृत करते हैं। विश्लेषण को जटिल बनाने के लिए अस्पष्ट रणनीति को नियोजित करने के अलावा, हमले का क्रम अंततः एक्सएमरिग सिक्का खनिक के एक संशोधित संस्करण की तैनाती में समाप्त होता है।
NoaBot उन्नत ऑबफस्केशन सुविधाओं से लैस है
जो बात इस नए संस्करण को अन्य मिराई बॉटनेट-आधारित अभियानों से अलग करती है, वह खनन पूल या वॉलेट पते से संबंधित जानकारी की उल्लेखनीय चूक है। यह अनुपस्थिति अवैध क्रिप्टोकरेंसी माइनिंग ऑपरेशन की लाभप्रदता का आकलन करना चुनौतीपूर्ण बना देती है।
खनिक अपने कॉन्फ़िगरेशन को अस्पष्ट करके और अनुकूलित खनन पूल का उपयोग करके, रणनीतिक रूप से वॉलेट पते के जोखिम को रोककर अतिरिक्त सावधानी बरतता है। धमकी देने वालों द्वारा प्रदर्शित तैयारियों का यह स्तर उनके ऑपरेशन की गोपनीयता और लचीलेपन को बढ़ाने के लिए एक जानबूझकर किए गए प्रयास को दर्शाता है।
अब तक, साइबर सुरक्षा शोधकर्ताओं ने दुनिया भर में फैले 849 पीड़ित आईपी पते की पहचान की है, जिनमें से महत्वपूर्ण सांद्रता चीन में देखी गई है। वास्तव में, ये घटनाएं 2023 में हनीपोट्स के खिलाफ सभी हमलों का लगभग 10% हैं, जो इस विशेष संस्करण की वैश्विक पहुंच और प्रभाव को रेखांकित करती हैं।
