โนอาบอท บอตเน็ต
ผู้คุกคามได้ใช้บอตเน็ตที่เพิ่งเกิดใหม่ชื่อ NoaBot ซึ่งสร้างขึ้นบนเฟรมเวิร์ก Mirai ในโครงการริเริ่มการขุด crypto เชื่อกันว่าการดำเนินการดังกล่าวดำเนินไปอย่างต่อเนื่องตั้งแต่อย่างน้อยต้นปี 2566 NoaBot มีฟีเจอร์ต่างๆ เช่น เวิร์มที่แพร่กระจายได้เองและประตูหลังคีย์ SSH ทำให้สามารถดาวน์โหลดและดำเนินการไบนารีเสริมหรือการแพร่กระจายไปยังเป้าหมายใหม่ได้
สารบัญ
รหัสของ Mirai ยังคงถูกใช้เพื่อสร้างมัลแวร์ใหม่
Mirai botnet เป็นสายพันธุ์มัลแวร์ที่มีชื่อเสียงซึ่งมีเป้าหมายหลักคืออุปกรณ์ Internet of Things (IoT) การเปิดตัวซอร์สโค้ดทำให้ผู้ประสงค์ร้ายรายอื่นๆ สามารถสร้างมัลแวร์เวอร์ชันของตนเองได้ ซึ่งนำไปสู่การแพร่ขยายบอตเน็ตที่ใช้ Mirai ความพร้อมใช้งานที่กว้างขวางของซอร์สโค้ดนี้ส่งผลให้จำนวนและขนาดของการโจมตีที่เกี่ยวข้องกับ IoT เพิ่มขึ้น ก่อให้เกิดความท้าทายที่สำคัญสำหรับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์และผู้ผลิตอุปกรณ์ อันที่จริง บอทเน็ต Mirai มีหลากหลายรูปแบบและการแยกตัวออกมามากมายนับตั้งแต่การค้นพบ โดยแต่ละแบบมีการดัดแปลงและปรับปรุงของตัวเอง ตัวแปรเหล่านี้มักจะกำหนดเป้าหมายไปที่ช่องโหว่เฉพาะหรือมุ่งเน้นไปที่อุปกรณ์ IoT ประเภทต่างๆ บอทเน็ตที่ใช้ Mirai ที่น่าอับอายบางตัว ได้แก่ Reaper, Satori และ Okiru หนึ่งในบอตเน็ตล่าสุดที่ใช้โค้ดของ Mirai คือ InfectedSlurs ซึ่งสามารถโจมตีแบบ Distributed Denial-of-Service (DDoS) ได้
ลักษณะเฉพาะของ NoaBot Botnet
มีข้อบ่งชี้ที่บ่งบอกถึงการเชื่อมต่อที่เป็นไปได้ระหว่าง NoaBot และแคมเปญบ็อตเน็ตอื่นที่เกี่ยวข้องกับตระกูลมัลแวร์ที่ใช้ Rust ที่เรียกว่า P2PInfect มัลแวร์นี้เพิ่งได้รับการอัปเดตเพื่อมุ่งเน้นไปที่การกำหนดเป้าหมายเราเตอร์และอุปกรณ์ Internet of Things (IoT) พื้นฐานของการเชื่อมต่อนี้อยู่ที่การสังเกตว่าผู้ก่อภัยคุกคามได้ทดลองใช้การแทนที่ P2PInfect สำหรับ NoaBot ในการโจมตีเซิร์ฟเวอร์ SSH ครั้งล่าสุด ซึ่งบ่งบอกถึงความพยายามที่จะเปลี่ยนไปใช้มัลแวร์แบบกำหนดเอง
แม้ว่า NoaBot จะถูกรูทใน Mirai แต่โมดูลสเปรดเดอร์ของมันใช้เครื่องสแกน SSH เพื่อระบุเซิร์ฟเวอร์ที่เสี่ยงต่อการโจมตีด้วยพจนานุกรม ทำให้สามารถดำเนินการพยายามแบบเดรัจฉานได้ ต่อมา มัลแวร์จะเพิ่มคีย์สาธารณะ SSH ให้กับไฟล์ .ssh/authorized_keys ซึ่งช่วยให้เข้าถึงจากระยะไกลได้ อีกทางเลือกหนึ่งคือ NoaBot สามารถดาวน์โหลดและดำเนินการไบนารีเพิ่มเติมหลังจากการแสวงหาประโยชน์ที่ประสบความสำเร็จหรือเผยแพร่ตัวเองไปยังเหยื่อรายใหม่
โดยเฉพาะอย่างยิ่ง NoaBot ได้รับการคอมไพล์ด้วย uClibc ซึ่งเปลี่ยนวิธีที่เอ็นจิ้นความปลอดภัยตรวจจับมัลแวร์ แม้ว่าโดยทั่วไปแล้วสายพันธุ์ Mirai อื่นๆ จะถูกระบุโดยใช้ลายเซ็น Mirai แต่ลายเซ็นป้องกันมัลแวร์ของ NoaBot จะจัดหมวดหมู่เป็นเครื่องสแกน SSH หรือโทรจันทั่วไป นอกเหนือจากการใช้กลยุทธ์ obfuscation เพื่อทำให้การวิเคราะห์ซับซ้อนขึ้นแล้ว ลำดับการโจมตียังสิ้นสุดในที่สุดด้วยการติดตั้งเครื่องขุดเหรียญ XMRig เวอร์ชันดัดแปลง
NoaBot มาพร้อมกับคุณสมบัติการทำให้งงงวยที่ได้รับการปรับปรุง
สิ่งที่ทำให้ตัวแปรใหม่นี้แตกต่างจากแคมเปญที่ใช้บอตเน็ต Mirai อื่นๆ คือการละเลยข้อมูลที่เกี่ยวข้องกับกลุ่มการขุดหรือที่อยู่กระเป๋าสตางค์ การขาดหายไปนี้ทำให้เกิดความท้าทายในการวัดความสามารถในการทำกำไรของการดำเนินการขุดเหมืองสกุลเงินดิจิทัลที่ผิดกฎหมาย
นักขุดใช้มาตรการป้องกันเพิ่มเติมโดยทำให้การกำหนดค่าของมันซับซ้อนขึ้น และใช้พูลการขุดที่ปรับแต่งเอง เพื่อป้องกันการเปิดเผยที่อยู่กระเป๋าเงินอย่างมีกลยุทธ์ การเตรียมพร้อมในระดับนี้แสดงโดยผู้แสดงภัยคุกคาม สะท้อนให้เห็นถึงความพยายามโดยเจตนาเพื่อเพิ่มการลักลอบและความยืดหยุ่นในการปฏิบัติงานของพวกเขา
ณ ขณะนี้ นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ระบุที่อยู่ IP ของเหยื่อ 849 แห่งที่กระจัดกระจายทั่วโลก โดยมีการระบุไว้อย่างหนาแน่นในจีน ในความเป็นจริง เหตุการณ์เหล่านี้คิดเป็นเกือบ 10% ของการโจมตีฮันนีพอตทั้งหมดในปี 2566 ซึ่งตอกย้ำการเข้าถึงและผลกระทบทั่วโลกของตัวแปรนี้
