圈小蛙
自2023年初以来,威胁行为者正在使用一种基于Mirai的新型僵尸网络NoaBot作为加密货币挖矿活动的一部分。
Akamai安全研究员Stiv Kupchik在一份报告中表示:“新的僵尸网络NoaBot的功能包括可蠕虫的自传播程序和SSH密钥后门,用于下载和执行其他二进制文件或将自身传播给新的受害者。”
Mirai的源代码于2016年被泄露,它是许多僵尸网络的鼻祖,最近的一个是InfectedSlurs,它能够发起分布式拒绝服务(DDoS)攻击。
有迹象表明,NoaBot可能与另一个僵尸网络活动有关,该活动涉及名为P2PInfect的基于Rust的恶意软件家族,该恶意软件家族最近获得了针对路由器和物联网设备的更新。
这是基于以下事实:在最近针对SSH服务器的攻击中,威胁行为者还尝试使用P2PInfect代替NoaBot,这表明可能试图转向定制恶意软件。
尽管NaoBot具有Mirai的基础,但其扩展器模块利用SSH扫描器来搜索容易受到字典攻击的服务器,以便对它们进行暴力破解,并在.ssh/authorized_keys文件中添加SSH公钥以进行远程访问。此外,它还可以在成功利用后下载并执行其他二进制文件,或将自身传播给新的受害者。
“NoaBot是用uClibc编译的,这似乎改变了防病毒引擎检测恶意软件的方式,”Kupchik指出,“虽然其他Mirai变体通常是通过Mirai签名来检测的,但NoaBot的反病毒签名是SSH扫描程序或通用木马。”
除了采用混淆策略来使分析具有挑战性之外,该攻击链最终还部署了XMRig挖矿程序的修改版本。
该新变种之所以优于其他类似的基于Mirai僵尸网络的活动,是因为它不包含有关矿池或钱包地址的任何信息,因此无法评估非法加密货币挖矿计划的盈利能力。
Kupchik说:“矿工混淆了自己的配置,并使用自定义矿池来避免暴露矿工使用的钱包地址。”他强调了威胁行为者的某种程度的防备。
Akamai表示,迄今为止已识别出849个受害者IP地址,这些地址分布在世界各地,据报告高度集中在中国,以至于占2023年针对其蜜罐的所有攻击的近10%。
“该恶意软件的横向移动方法是通过普通的老式SSH凭据字典攻击,”Kupchik说。“限制对网络的任意互联网SSH访问可以大大降低感染的风险。此外,使用强密码(而不是默认密码或随机生成的密码)也会使网络更加安全,因为恶意软件使用的是可猜测密码的基本列表。”