Un nouveau botnet basé sur Mirai appelé NoaBot est utilisé par les acteurs malveillants dans le cadre d’une campagne de crypto mining depuis le début de 2023.
« Les capacités du nouveau botnet, NoaBot, incluent un auto-propagateur vermifuge et une porte dérobée de clé SSH pour télécharger et exécuter des binaires supplémentaires ou se propager à de nouvelles victimes », a déclaré Stiv Kupchik, chercheur en sécurité d’Akamai, dans un communiqué. rapport partagé avec The Hacker News.
Mirai, dont le code source a été divulgué en 2016, est à l’origine d’un certain nombre de réseaux de zombies, le plus récent étant InfectedSlurs, capable de lancer des attaques par déni de service distribué (DDoS).
Il semble que NoaBot pourrait être lié à une autre campagne de botnet impliquant une famille de logiciels malveillants basés sur Rust connue sous le nom de P2PInfect, qui a récemment reçu une mise à jour pour cibler les routeurs et les appareils IoT.
Ceci est basé sur le fait que les acteurs malveillants ont également expérimenté l’abandon de P2PInfect à la place de NoaBot lors d’attaques récentes ciblant les serveurs SSH, ce qui indique des tentatives probables de basculement vers des logiciels malveillants personnalisés.
Malgré les fondations Mirai de NaoBot, son module d’épandage exploite un scanner SSH pour rechercher les serveurs susceptibles d’être infectés. attaque de dictionnaire afin de les forcer brutalement et d’ajouter une clé publique SSH dans le fichier .ssh/authorized_keys pour l’accès à distance. En option, il peut également télécharger et exécuter des fichiers binaires supplémentaires après une exploitation réussie ou se propager à de nouvelles victimes.
« NoaBot est compilé avec uClibc, ce qui semble changer la façon dont les moteurs antivirus détectent les logiciels malveillants », a noté Kupchik. « Alors que les autres variantes de Mirai sont généralement détectées avec une signature Mirai, les signatures antivirus de NoaBot proviennent d’un scanner SSH ou d’un cheval de Troie générique. »
En plus d’incorporer des tactiques d’obscurcissement pour rendre l’analyse difficile, la chaîne d’attaque aboutit finalement au déploiement d’une version modifiée du mineur de pièces XMRig.
Ce qui place la nouvelle variante au-dessus des autres campagnes similaires basées sur le botnet Mirai, c’est qu’elle ne contient aucune information sur le pool de minage ou l’adresse du portefeuille, ce qui rend impossible l’évaluation de la rentabilité du système de minage illicite de crypto-monnaie.
« Le mineur obscurcit sa configuration et utilise également un pool de minage personnalisé pour éviter d’exposer l’adresse du portefeuille utilisée par le mineur », a déclaré Kupchik, soulignant un certain niveau de préparation des acteurs de la menace.
Akamai a déclaré avoir identifié à ce jour 849 adresses IP de victimes réparties géographiquement à travers le monde, avec de fortes concentrations signalées en Chine, à tel point qu’elles représentent près de 10 % de toutes les attaques contre ses honeypots en 2023.
« La méthode de déplacement latéral du logiciel malveillant consiste à utiliser de simples attaques par dictionnaire d’informations d’identification SSH », a déclaré Kupchik. « Restreindre l’accès Internet SSH arbitraire à votre réseau diminue considérablement les risques d’infection. De plus, l’utilisation de mots de passe forts (et non générés par défaut ou aléatoires) rend également votre réseau plus sécurisé, car le malware utilise une liste de base de mots de passe. mots de passe devinables« .