NoaBot ve Mirai arasındaki fark edilir bir fark, botnet’in, DDoS saldırıları yerine, kripto para birimi madenciliği yazılımını yüklemek için SSH bağlantılarını bağlayan zayıf şifreleri hedeflemesidir.
Akamai’deki siber güvenlik araştırmacıları, kötü şöhrete sahip NoaBot adlı kripto madencilik kötü amaçlı yazılımını keşfetti. Mirai botnet’i. Crytojacking kötü amaçlı yazılımı NoaBot şu anda Linux sunucularını hedefliyor ve Ocak 2023’ten beri aktif.
Akamai’ye göre NoaBot ve Mirai arasında gözle görülür bir fark var: DDoS saldırıları (Dağıtılmış Hizmet Reddi saldırıları) kötü amaçlı yazılım, SSH bağlantılarını bağlayan zayıf şifreleri hedef alır ve kripto para birimi madenciliği yazılımı yükleyerek saldırganların kurbanların bilgi işlem kaynaklarını, elektriğini ve bant genişliğini kullanarak dijital paralar üretmesine olanak tanır.
Burada, NoaBot kötü amaçlı yazılımının aynı zamanda aşağıdakileri sağlamak için de kullanıldığını belirtmek önemlidir: P2PInfectPalo Alto Networks tarafından Temmuz 2023’te keşfedilen ayrı bir solucan.
NoaBot, standart Mirai kütüphanesinden farklı olarak UClibc kod kütüphanesi kullanılarak derlenir. Bu, antivirüs korumalarının NoaBot’u SSH tarayıcısı veya genel truva atı olarak sınıflandırarak algılama şeklini değiştirir. Kötü amaçlı yazılım statik olarak derlenir ve sembollerden arındırılırken, dizeler düz metin olarak kaydedilmek yerine gizlenir ve bu da tersine mühendislerin ayrıntıları çıkarmasını zorlaştırır.
NoaBot ikili dosyası rastgele oluşturulmuş bir klasörden çalışır ve cihazların aranmasını zorlaştırır. Standart Mirai sözlüğü büyük bir sözlükle değiştirildi ve özel yapım bir SSH tarayıcı kullanıldı. İhlal sonrası yetenekler arasında yeni bir SSH yetkili anahtarının kurulması da yer alır.
Bu botnet, dünya çapında NoaBot enfeksiyonu belirtileri gösteren 800’den fazla benzersiz IP adresiyle önemli ölçüde büyüdü. Solucan bir Mirai’nin özelleştirilmiş versiyonuLinux tabanlı sunuculara, yönlendiricilere, web kameralarına ve diğer Nesnelerin İnterneti cihazlarına bulaşan bir kötü amaçlı yazılım.
İlginç bir şekilde, kötü amaçlı yazılım, “Kimler Yarına HazırRat Boy ve IBDY’nin şarkısı ama sonraki örneklerde bunlar yok. Botnet ayrıca, yeniden başlatmanın ardından bir kalıcılık yöntemi yükleyen “noa” bayrağı gibi komut satırı argümanlarını da ekler.
Tehdit aktörleri değişiklik yaptı XMRig mayınları yürütmeden önce madencilik yapılandırmasını çıkarmak için. Madencinin işlevleri, işlev çağrılarını ve sinyallerini içerir. Yapılandırma madencilik havuzu ve cüzdan adresi ayrıntılarını içerir. Ancak IDA, ikili adı ve havuz IP yer tutucusunu kaçırıyor ve saldırganların kripto madenciliği işinin karlılığını tahmin etmesine olanak tanıyor.
Araştırmacılar, saldırganların halka açık bir havuz yerine kendi özel havuzlarını çalıştırdıklarını ve bu sayede cüzdan ihtiyacını ortadan kaldırdıklarını belirtti. Ancak alan adları artık Google’ın DNS’si ile çözümlenemiyor ve madencinin düşürülmesiyle ilgili yakın zamanda herhangi bir olay fark edilmiyor; bu da tehdit aktörlerinin daha iyi fırsatlar için kampanyayı durdurmuş olabileceğini gösteriyor.
Hackread, Mirai ile ilgili olayları o zamandan beri takip ediyor. keşfetti Mirai, diğer savunmasız cihazlara bulaşmak için kullanılan, Linux tabanlı IoT cihazlarını hedef alan, kendi kendini kopyalayan bir kötü amaçlı yazılımdır.
2016 yılında büyük çapta kullanıldı. Dyn DNS’e DDoS saldırısı, interneti felç ediyor. Yaratıcılar kaynak kodunu yayınlayarak suç gruplarının bunu saldırılarına dahil etmelerine olanak tanıdı. Mirai, Telnet şifrelerini kırmak için virüslü cihazlar aracılığıyla interneti Telnet bağlantılarını tarar ve ardından aynı tekniği kullanarak ek cihazları hedefler.
Akamai ısrar ediyor Linux sunucu yöneticileri, yazılımları güncel tutarak, güçlü parolalar kullanarak, iki faktörlü kimlik doğrulamayı etkinleştirerek ve yetkisiz etkinlikleri izleyerek sistemlerini NoaBot’tan koruyabilir. NoaBot DDoS, veri ihlalleri ve kripto hırsızlığı saldırıları.
İLGİLİ MAKALELER
- Mirai botnet ve DYN DDoS saldırılarının arkasındaki hackerlar suçunu kabul etti
- FBI ile çalıştıkları için hapisten kaçınmak için Mirai botnet’in arkasındaki bilgisayar korsanları
- Minik Mantis Botnet, Mirai’den Daha Güçlü DDoS Saldırıları Başlatabilir
- Reaper kötü amaçlı yazılımı Mirai’yi gölgede bırakıyor; dünya çapında milyonlarca IoT cihazını etkiliyor
- Mirai Variant ‘OMG’ IoT Cihazlarını Kripto Madencilik için Proxy Sunucularına Dönüştürüyor