Mirai-alapú NoaBot
Az Akamai biztonsági kutatói egy új kriptobányászati kampányt fedeztek fel, amely 2023 eleje óta aktív. A kártevő SSH protokollon keresztül terjed egy egyedi Mirai botnet segítségével, amelyet a fenyegető szereplők módosítottak. Az új botnet, a NoaBot képességei közé tartozik egy féregszerűen önterjesztő és egy SSH-kulcsos hátsó ajtó, amellyel további bináris programokat tölthet le és hajthat végre, illetve terjesztheti magát új áldozatokra.
A támadás részeként az XMRig miner módosított verzióját használták. A miner elfedi a konfigurációját, és egy egyéni minerpoolt is használ, hogy elkerülje a miner által használt tárca címének felfedését. A kutatók bizonyítékot találtak arra, hogy a botnetet a P2PInfect wormhoz kapcsolják, amelyet a Unit 42 2023 júliusában fedezett fel. A kártevő elfedése és az egyéni kód magas szintű műveletbiztonságot mutat, ami általában érett fenyegetőszereplőkre utal, de a kártevő bináris állományainak elnevezése és néhány benne szereplő karakterlánc meglehetősen gyerekes, ami megnehezíti a hozzárendelést.
2023-ban több mint 800 különböző támadó IP-címet találtak a kutatók, amelyek egyenletesen oszlanak el a világon.
A felszínen a NoaBot nem egy nagyon kifinomult kampány – ez csak egy Mirai variáns és egy XMRig cryptominer, és manapság már tucatnyi van belőlük. A rosszindulatú szoftverhez hozzáadott obfuszkáció és az eredeti forráskód kiegészítései azonban egészen más képet festenek a fenyegető szereplők képességeiről. A fenyegető szereplők technikai képességei ellenére úgy tűnik, hogy kiforratlan elnevezési konvenciókat alkalmaznak (például egy Unix socketet NunzombiE néven), amelyek még a különböző kártevő minták és bináris programok között is megmaradnak. Ezt a jellemzőt a kutatók felhasználták arra, hogy a NoaBotot a P2PInfect-hez társítsák, és talán ez az észlelési nyom a jövőbeni rosszindulatú szoftverkampányokra is igaz lesz.
Az Akamai biztonsági kutatói megosztották a fertőzésre vonatkozó indikátorokat (IOC), lekérdezéseket, szignatúrákat és szkripteket, amelyekkel tesztelni lehet a fertőzést.