NoaBot-Botnetz
Bedrohungsakteure haben für eine Krypto-Mining-Initiative ein neu entstandenes Botnetz namens NoaBot eingesetzt, das auf dem Mirai-Framework aufbaut. Man geht davon aus, dass die Operation mindestens seit Anfang 2023 läuft. NoaBot verfügt über Funktionen wie einen sich selbst verbreitenden Wurm und eine SSH-Schlüssel-Hintertür, die das Herunterladen und Ausführen zusätzlicher Binärdateien oder die Verbreitung an neue Ziele ermöglicht.
Inhaltsverzeichnis
Der Code von Mirai wird immer noch zur Erstellung neuer Malware verwendet
Das Mirai-Botnetz ist eine berüchtigte Malware-Variante, die hauptsächlich auf IoT-Geräte (Internet of Things) abzielt. Die Veröffentlichung des Quellcodes ermöglichte es anderen böswilligen Akteuren, ihre eigenen Versionen der Malware zu erstellen, was zu einer Verbreitung von Mirai-basierten Botnetzen führte. Diese weit verbreitete Verfügbarkeit des Quellcodes trug zu einem Anstieg der Anzahl und des Ausmaßes von IoT-bezogenen Angriffen bei und stellte Cybersicherheitsexperten und Gerätehersteller vor erhebliche Herausforderungen. Tatsächlich sind seit seiner Entdeckung zahlreiche Varianten und Ableger des Mirai-Botnetzes entstanden, jede mit ihren eigenen Modifikationen und Verbesserungen. Diese Varianten zielen häufig auf bestimmte Schwachstellen ab oder konzentrieren sich auf verschiedene Arten von IoT-Geräten. Zu den berüchtigten Mirai-basierten Botnetzen gehören Reaper, Satori und Okiru. Eines der neueren Botnetze, die den Code von Mirai nutzen, ist InfectedSlurs, das in der Lage ist, DDoS-Angriffe (Distributed Denial-of-Service) durchzuführen.
Spezifische Merkmale des NoaBot-Botnetzes
Es gibt Hinweise, die auf eine mögliche Verbindung zwischen NoaBot und einer anderen Botnet-Kampagne im Zusammenhang mit einer Rust-basierten Malware-Familie namens P2PInfect hinweisen. Diese spezielle Malware wurde kürzlich einem Update unterzogen, um sich auf Router und Internet-of-Things-Geräte (IoT) zu konzentrieren. Die Grundlage für diesen Zusammenhang liegt in der Beobachtung, dass Bedrohungsakteure bei jüngsten Angriffen auf SSH-Server damit experimentiert haben, NoaBot durch P2PInfect zu ersetzen, was auf mögliche Versuche hindeutet, auf benutzerdefinierte Malware umzusteigen.
Obwohl NoaBot in Mirai verwurzelt ist, verwendet sein Spreader-Modul einen SSH-Scanner, um Server zu identifizieren, die für Wörterbuchangriffe anfällig sind, und ermöglicht so die Durchführung von Brute-Force-Versuchen. Anschließend fügt die Malware der Datei .ssh/authorized_keys einen öffentlichen SSH-Schlüssel hinzu und ermöglicht so den Fernzugriff. Optional kann NoaBot nach erfolgreicher Ausnutzung weitere Binärdateien herunterladen und ausführen oder sich an neue Opfer weitergeben.
Insbesondere wird NoaBot mit uClibc kompiliert, was die Art und Weise verändert, wie Sicherheits-Engines die Malware erkennen. Während andere Mirai-Varianten normalerweise anhand einer Mirai-Signatur identifiziert werden, kategorisieren die Anti-Malware-Signaturen von NoaBot ihn als SSH-Scanner oder generischen Trojaner. Zusätzlich zum Einsatz von Verschleierungstaktiken, um die Analyse zu erschweren, gipfelt die Angriffssequenz schließlich im Einsatz einer modifizierten Version des XMRig- Coin-Miners.
NoaBot ist mit erweiterten Verschleierungsfunktionen ausgestattet
Was diese neue Variante von anderen Mirai- Botnet-basierten Kampagnen unterscheidet, ist das bemerkenswerte Fehlen von Informationen zum Mining-Pool oder zur Wallet-Adresse. Dieses Fehlen macht es schwierig, die Rentabilität des illegalen Kryptowährungs-Mining-Betriebs einzuschätzen.
Der Miner trifft zusätzliche Vorsichtsmaßnahmen, indem er seine Konfiguration verschleiert und einen maßgeschneiderten Mining-Pool nutzt, um die Offenlegung der Wallet-Adresse strategisch zu verhindern. Dieses Maß an Bereitschaft der Bedrohungsakteure spiegelt die bewusste Anstrengung wider, die Tarnung und Widerstandsfähigkeit ihrer Operationen zu verbessern.
Bisher haben Cybersicherheitsforscher 849 weltweit verstreute IP-Adressen von Opfern identifiziert, wobei erhebliche Konzentrationen in China festgestellt wurden. Tatsächlich machen diese Vorfälle im Jahr 2023 fast 10 % aller Angriffe auf Honeypots aus, was die globale Reichweite und Wirkung dieser besonderen Variante unterstreicht.
