Mirai tabanlı yeni bir botnet adı verildi NoaBot 2023 yılının başından bu yana tehdit aktörleri tarafından kripto madenciliği kampanyasının bir parçası olarak kullanılıyor.
Akamai güvenlik araştırmacısı Stiv Kupchik, The Hacker News ile paylaşılan bir raporda, “Yeni botnet NoaBot’un yetenekleri arasında, solucanlı bir kendi kendine yayıcı ve ek ikili dosyalar indirip yürütmek veya kendisini yeni kurbanlara yaymak için bir SSH anahtarı arka kapısı yer alıyor” dedi.
Kaynak kodu 2016 yılında sızdırılan Mirai, çok sayıda botnet’in öncüsü oldu; en sonuncusu, dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirebilen InfectedSlurs’du.
NoaBot’un, yakın zamanda yönlendiricileri ve IoT cihazlarını hedeflemek için bir güncelleme alan, P2PInfect olarak bilinen Rust tabanlı bir kötü amaçlı yazılım ailesini içeren başka bir botnet kampanyasıyla bağlantılı olabileceğine dair göstergeler var.
Bu, tehdit aktörlerinin SSH sunucularını hedef alan son saldırılarda NoaBot yerine P2PInfect’i bırakmayı da denediği gerçeğine dayanıyor; bu da özel kötü amaçlı yazılımlara yönelme girişimlerinin olası olduğunu gösteriyor.
NaoBot’un Mirai temellerine rağmen, yayma modülü, sözlük saldırısına açık sunucuları aramak ve onlara kaba kuvvet uygulamak için bir SSH tarayıcısından yararlanır ve uzaktan erişim için .ssh/authorized_keys dosyasına bir SSH genel anahtarı ekler. İsteğe bağlı olarak, başarılı bir istismarın ardından ek ikili dosyaları indirip çalıştırabilir veya kendisini yeni kurbanlara yayabilir.
Kupchik, “NoaBot, antivirüs motorlarının kötü amaçlı yazılımları algılama şeklini değiştirmiş gibi görünen uClibc ile derlendi” dedi. “Diğer Mirai çeşitleri genellikle Mirai imzasıyla tespit edilirken, NoaBot’un antivirüs imzaları bir SSH tarayıcısına veya genel bir truva atına aittir.”
Saldırı zinciri, analizi zorlaştırmak için gizleme taktiklerini birleştirmenin yanı sıra, sonuçta XMRig madeni para madencisinin değiştirilmiş bir versiyonunun konuşlandırılmasıyla sonuçlanır.
Yeni varyantı diğer benzer Mirai botnet tabanlı kampanyalardan ayıran şey, madencilik havuzu veya cüzdan adresi hakkında herhangi bir bilgi içermemesi ve dolayısıyla yasa dışı kripto para birimi madenciliği planının karlılığını değerlendirmeyi imkansız hale getirmesidir.
Kupchik, tehdit aktörlerinin bir miktar hazırlıklı olduğunu vurgulayarak, “Madenci, yapılandırmasını gizler ve aynı zamanda madenci tarafından kullanılan cüzdan adresinin açığa çıkmasını önlemek için özel bir madencilik havuzu kullanır.” dedi.
Akamai, bugüne kadar dünya çapında coğrafi olarak yayılmış 849 kurban IP adresi tespit ettiğini, Çin’de yüksek yoğunlukların rapor edildiğini, öyle ki bu sayının 2023’te bal küplerine yönelik tüm saldırıların neredeyse %10’una tekabül ettiğini söyledi.
Kupchik, “Kötü amaçlı yazılımın yanal hareket yöntemi, eski SSH kimlik bilgileri sözlüğü saldırılarıdır” dedi. “Ağınıza rastgele internet SSH erişimini kısıtlamak, bulaşma riskini büyük ölçüde azaltır. Ayrıca, kötü amaçlı yazılım, tahmin edilebilir şifrelerden oluşan temel bir liste kullandığından, güçlü (varsayılan veya rastgele oluşturulmamış) şifreler kullanmak ağınızı daha güvenli hale getirir.”