Una nueva botnet basada en Mirai llamada NoaBot está siendo utilizado por actores de amenazas como parte de una campaña de criptominería desde principios de 2023.
«Las capacidades de la nueva botnet, NoaBot, incluyen un propagador automático de gusanos y una puerta trasera con clave SSH para descargar y ejecutar binarios adicionales o propagarse a nuevas víctimas», dijo el investigador de seguridad de Akamai, Stiv Kupchik, en un informe compartido con The Hacker News.
Mirai, cuyo código fuente se filtró en 2016, ha sido el progenitor de varias botnets, la más reciente fue InfectedSlurs, que es capaz de montar ataques distribuidos de denegación de servicio (DDoS).
Hay indicios de que NoaBot podría estar vinculado a otra campaña de botnet que involucra una familia de malware basada en Rust conocida como P2PInfect, que recientemente recibió una actualización para apuntar a enrutadores y dispositivos de IoT.
Esto se basa en el hecho de que los actores de amenazas también han experimentado con la eliminación de P2PInfect en lugar de NoaBot en ataques recientes dirigidos a servidores SSH, lo que indica probables intentos de pasar a malware personalizado.
A pesar de los fundamentos Mirai de NaoBot, su módulo esparcidor aprovecha un escáner SSH para buscar servidores susceptibles a Ataque de diccionario para aplicarles fuerza bruta y agregar una clave pública SSH en el archivo .ssh/authorized_keys para acceso remoto. Opcionalmente, también puede descargar y ejecutar archivos binarios adicionales después de una explotación exitosa o propagarse a nuevas víctimas.
«NoaBot está compilado con uClibc, lo que parece cambiar la forma en que los motores antivirus detectan el malware», señaló Kupchik. «Mientras que otras variantes de Mirai normalmente se detectan con una firma Mirai, las firmas antivirus de NoaBot son las de un escáner SSH o un troyano genérico».
Además de incorporar tácticas de ofuscación para dificultar el análisis, la cadena de ataque finalmente resulta en la implementación de una versión modificada del minero de monedas XMRig.
Lo que hace que la nueva variante esté por encima de otras campañas similares basadas en la botnet Mirai es que no contiene ninguna información sobre el grupo de minería o la dirección de la billetera, lo que hace imposible evaluar la rentabilidad del esquema de minería ilícita de criptomonedas.
«El minero ofusca su configuración y también utiliza un grupo de minería personalizado para evitar exponer la dirección de billetera utilizada por el minero», dijo Kupchik, destacando cierto nivel de preparación de los actores de amenazas.
Akamai dijo que identificó 849 direcciones IP de víctimas hasta la fecha que están distribuidas geográficamente por todo el mundo, con altas concentraciones reportadas en China, hasta el punto de que representa casi el 10% de todos los ataques contra sus honeypots en 2023.
«El método de movimiento lateral del malware es a través de viejos ataques de diccionario de credenciales SSH», dijo Kupchik. «Restringir el acceso SSH arbitrario a Internet a su red disminuye en gran medida los riesgos de infección. Además, el uso de contraseñas seguras (no predeterminadas ni generadas aleatoriamente) también hace que su red sea más segura, ya que el malware utiliza una lista básica de contraseñas adivinables«.