NoaBot robottīkls
Draudu dalībnieki kriptoraktuves iniciatīvā ir izmantojuši jaunizveidoto robottīklu ar nosaukumu NoaBot, kas ir balstīts uz Mirai sistēmu. Tiek uzskatīts, ka darbība turpinās vismaz kopš 2023. gada sākuma. NoaBot lepojas ar tādām funkcijām kā pašizplatošs tārps un SSH atslēgas aizmugures durvis, kas ļauj lejupielādēt un izpildīt papildu bināros failus vai pārsūtīt uz jauniem mērķiem.
Satura rādītājs
Mirai kods joprojām tiek izmantots jaunas ļaunprātīgas programmatūras izveidei
Mirai robottīkls ir bēdīgi slavens ļaunprātīgas programmatūras celms, kas galvenokārt ir vērsts uz lietiskā interneta (IoT) ierīcēm. Avota koda izlaišana ļāva citiem ļaunprātīgiem dalībniekiem izveidot savas ļaunprogrammatūras versijas, izraisot uz Mirai balstītu robottīklu izplatību. Šī avota koda plašā pieejamība veicināja ar IoT saistīto uzbrukumu skaita un mēroga pieaugumu, radot ievērojamas problēmas kiberdrošības profesionāļiem un ierīču ražotājiem. Patiešām, kopš tā atklāšanas ir parādījušies daudzi Mirai robottīkla varianti un atvasinājumi, katrs ar savām modifikācijām un uzlabojumiem. Šie varianti bieži ir vērsti uz konkrētām ievainojamībām vai koncentrējas uz dažāda veida IoT ierīcēm. Daži no bēdīgi slavenajiem Mirai bāzētajiem robottīkliem ir Reaper, Satori un Okiru. Viens no jaunākajiem robottīkliem, kas izmanto Mirai kodu, ir InfectedSlurs, kas spēj veikt DDoS (Distributed Denial-of-Service) uzbrukumus.
NoaBot robottīkla specifiskās īpašības
Ir norādes, kas liecina par iespējamu saistību starp NoaBot un citu robottīklu kampaņu, kas saistīta ar Rust balstītu ļaunprogrammatūru saimi P2PInfect. Šī konkrētā ļaunprogrammatūra nesen tika atjaunināta, lai koncentrētos uz maršrutētāju un lietiskā interneta (IoT) ierīču mērķauditorijas atlasi. Šīs saiknes pamatā ir novērojums, ka apdraudējuma dalībnieki ir eksperimentējuši ar P2PInfect aizstāšanu ar NoaBot nesenajos uzbrukumos SSH serveriem, norādot uz iespējamiem centieniem pāriet uz pielāgotu ļaunprātīgu programmatūru.
Neskatoties uz to, ka NoaBot sakņojas Mirai, tā izplatītāja modulis izmanto SSH skeneri, lai identificētu serverus, kas ir neaizsargāti pret vārdnīcu uzbrukumiem, ļaujot tam veikt brutāla spēka mēģinājumus. Pēc tam ļaunprogrammatūra pievieno SSH publisko atslēgu .ssh/authorized_keys failam, nodrošinot attālo piekļuvi. Pēc izvēles NoaBot var lejupielādēt un izpildīt papildu bināros failus pēc veiksmīgas izmantošanas vai izplatīt sevi jauniem upuriem.
Proti, NoaBot ir apkopots ar uClibc, mainot veidu, kā drošības dzinēji atklāj ļaunprātīgu programmatūru. Lai gan citi Mirai varianti parasti tiek identificēti, izmantojot Mirai parakstu, NoaBot anti-ļaundabīgo programmu paraksti to klasificē kā SSH skeneri vai vispārēju Trojas zirgu. Papildus tam, ka tiek izmantota apmulsināšanas taktika, lai sarežģītu analīzi, uzbrukuma secība galu galā beidzas ar modificētas XMRig monētu raktuves versijas izvietošanu.
NoaBot ir aprīkots ar uzlabotām obfuskācijas funkcijām
Tas, kas šo jauno variantu atšķir no citām Mirai robottīklu kampaņām, ir tā ievērojamā informācijas izlaišana, kas attiecas uz ieguves baseinu vai maka adresi. Šis trūkums apgrūtina nelegālās kriptovalūtas ieguves darbības rentabilitātes novērtēšanu.
Kalnracis veic papildu piesardzības pasākumus, aptumšojot savu konfigurāciju un izmantojot pielāgotu ieguves baseinu, stratēģiski novēršot maka adreses atklāšanu. Šis apdraudējuma dalībnieku gatavības līmenis atspoguļo apzinātus centienus uzlabot viņu darbības slepenību un noturību.
Šobrīd kiberdrošības pētnieki ir identificējuši 849 upuru IP adreses, kas ir izkaisītas visā pasaulē, un ievērojama koncentrācija ir novērota Ķīnā. Faktiski šie incidenti veido gandrīz 10% no visiem uzbrukumiem medus podiem 2023. gadā, uzsverot šī konkrētā varianta globālo izplatību un ietekmi.
