Uma nova botnet baseado em Mirai chamado NoaBot está sendo usado por atores de ameaça como parte de uma campanha de mineração de criptomoedas desde o início de 2023.
"As capacidades da nova botnet, NoaBot, incluem um auto-replicador 'wormable' e um backdoor de chave SSH para baixar e executar binários adicionais ou espalhar-se para novas vítimas", disse o pesquisador de segurança da Akamai, Stiv Kupchik, em um relatório compartilhado com o The Hacker News.
Mirai, que teve seu código-fonte vazado em 2016, tem sido o progenitor de vários botnets, sendo o mais recente o InfectedSlurs, capaz de realizar ataques distribuídos de negação de serviço (DDoS).
Há indícios de que o NoaBot poderia estar ligado a outra campanha de botnet envolvendo uma família de malware baseada em Rust conhecida como P2PInfect, que recentemente recebeu uma atualização para atacar roteadores e dispositivos IoT.
Isso se baseia no fato de que os atores de ameaça também experimentaram com a substituição do P2PInfect pelo NoaBot em ataques recentes a servidores SSH, indicando tentativas prováveis de migrar para malware personalizado.
Apesar das fundações do NaoBot serem do Mirai, seu módulo de propagação utiliza um scanner SSH para procurar servidores suscetíveis a ataques de dicionário a fim de forçá-los brutalmente e adicionar uma chave pública SSH no arquivo .ssh/authorized_keys para acesso remoto.
Opcionalmente, ele também pode baixar e executar binários adicionais após uma exploração bem-sucedida ou propagar-se para novas vítimas.
"NoaBot é compilado com uClibc, o que parece mudar a forma como os mecanismos antivírus detectam o malware", observou Kupchik.
"Enquanto outras variantes de Mirai são geralmente detectadas com uma assinatura Mirai, as assinaturas de antivírus do NoaBot são de um scanner SSH ou um trojan genérico".
Além de incorporar táticas de ofuscação para tornar a análise desafiadora, a cadeia de ataque resulta na implementação de uma versão modificada do minerador de moedas XMRig.
O que torna a nova variante superior a outras campanhas semelhantes baseadas em botnet Mirai é que ela não contém nenhuma informação sobre a pool de mineração ou o endereço da carteira, tornando impossível avaliar a rentabilidade do esquema ilícito de mineração de criptomoedas.
"O minerador ofusca sua configuração e também usa uma pool de mineração personalizada para evitar a exposição do endereço da carteira usado pelo minerador", disse Kupchik, destacando algum grau de preparação dos atores de ameaça.
Akamai disse ter identificado até o momento 849 endereços IP vítimas que estão espalhados geograficamente pelo mundo, com altas concentrações relatadas na China, tanto que representa quase 10% de todos os ataques contra seus honeypots em 2023.
"O método de movimento lateral do malware é através de ataques de dicionário de credenciais SSH", disse Kupchik.
"Restringir o acesso SSH da internet arbitrária à sua rede diminui muito os riscos de infecção.
Além disso, usar senhas fortes (não padrão ou geradas aleatoriamente) também torna sua rede mais segura, já que o malware usa uma lista básica de senhas adivinháveis".
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...