NoaBot: Kripto Madenciliği için SSH Sunucularını Hedefleyen En Son Mirai Tabanlı Botnet
NoaBot adlı yeni bir Mirai tabanlı botnet, 2023'ün başından bu yana bir kripto madenciliği kampanyasının parçası olarak tehdit aktörleri tarafından kullanılıyor.
Akamai güvenlik araştırmacısı Stiv Kupchik, paylaşılan bir raporda, "Yeni botnet NoaBot'un yetenekleri, ek ikili dosyalar indirmek ve yürütmek veya kendisini yeni kurbanlara yaymak için solucan haline getirilebilir bir kendi kendine yayıcı ve bir SSH anahtarı arka kapısı içeriyor" dedi.
Kaynak kodu 2016 yılında sızdırılan Mirai, en sonuncusu dağıtılmış hizmet reddi (DDoS) saldırıları düzenleyebilen InfectedSlurs olmak üzere bir dizi botnet'in atası olmuştur.
NoaBot'un, yakın zamanda yönlendiricileri ve IoT cihazlarını hedeflemek için bir güncelleme alan P2PInfect olarak bilinen Rust tabanlı bir kötü amaçlı yazılım ailesini içeren başka bir botnet kampanyasına bağlanabileceğine dair göstergeler var.
Bu, tehdit aktörlerinin SSH sunucularını hedef alan son saldırılarda NoaBot yerine P2PInfect'i bırakmayı denedikleri gerçeğine dayanıyor ve bu da olası özel kötü amaçlı yazılımlara dönme girişimlerini gösteriyor.
NaoBot'un Mirai temellerine rağmen, yayıcı modülü, sözlük saldırısına açık sunucuları aramak için bir SSH tarayıcısından yararlanır ve onları kaba kuvvetle zorlamak ve uzaktan erişim için .ssh/authorized_keys dosyasına bir SSH ortak anahtarı ekler. İsteğe bağlı olarak, başarılı bir istismardan sonra ek ikili dosyalar indirebilir ve yürütebilir veya kendisini yeni kurbanlara yayabilir.
Kupchik, "NoaBot, antivirüs motorlarının kötü amaçlı yazılımı algılama şeklini değiştiren uClibc ile derlendi" dedi. "Diğer Mirai varyantları genellikle bir Mirai imzasıyla tespit edilirken, NoaBot'un antivirüs imzaları bir SSH tarayıcısına veya genel bir truva atına aittir."
Analizi zorlaştırmak için şaşırtma taktiklerini dahil etmenin yanı sıra, saldırı zinciri nihayetinde XMRig madeni para madencisinin değiştirilmiş bir sürümünün konuşlandırılmasıyla sonuçlanır.
Yeni varyantı diğer benzer Mirai botnet tabanlı kampanyaların üzerinde bir kesim yapan şey, madencilik havuzu veya cüzdan adresi hakkında herhangi bir bilgi içermemesi ve böylece yasadışı kripto para madenciliği planının karlılığını değerlendirmeyi imkansız hale getirmesidir.
Kupchik, "Madenci, yapılandırmasını gizliyor ve ayrıca madenci tarafından kullanılan cüzdan adresinin açığa çıkmasını önlemek için özel bir madencilik havuzu kullanıyor" dedi ve tehdit aktörlerinin bir miktar hazırlıklı olduğunu vurguladı.
Akamai, bugüne kadar coğrafi olarak dünyaya yayılmış 849 kurban IP adresi belirlediğini ve Çin'de yüksek konsantrasyonların bildirildiğini, öyle ki 2023'te bal küplerine yönelik tüm saldırıların neredeyse %10'una tekabül ettiğini söyledi.
Kupchik, "Kötü amaçlı yazılımın yanal hareket yöntemi, düz eski SSH kimlik bilgileri sözlüğü saldırılarıdır" dedi. "Ağınıza rastgele internet SSH erişimini kısıtlamak, enfeksiyon risklerini büyük ölçüde azaltır. Ek olarak, güçlü (varsayılan veya rastgele oluşturulmamış) parolalar kullanmak, kötü amaçlı yazılım tahmin edilebilir parolalardan oluşan temel bir liste kullandığından, ağınızı daha güvenli hale getirir."
Benzer Haberler
Kötü Amaçlı NPM Paketleri, SSH Arka Kapısı ile Geliştiricilerin Ethereum Cüzdanlarını Hedef Alıyor
Binance, Kripto Para Kullanıcılarını Hedef Alan Artan Clipper Kötü Amaçlı Yazılım Saldırılarına Karşı Uyardı
Rust Tabanlı P2PInfect Botnet, Madenci ve Fidye Yazılımı Yükleriyle Gelişiyor
ABD, Rusya'nın Yaptırımlardan Kaçmasına Yardım Ettiği İçin 3 Kripto Para Borsasına Yaptırım Uyguladı
Yeni Kimlik Avı Kiti, Kripto Para Birimi Kullanıcılarını Hedeflemek için SMS ve Sesli Aramalardan Yararlanıyor
Kuzey Koreli Bilgisayar Korsanları Kötü Amaçlı NPM Paketleriyle Geliştiricileri Hedef Alıyor
RustDoor macOS Backdoor, Kripto Para Firmalarını Sahte İş Teklifleriyle Hedefliyor
BTC-e ile Bağlantılı Belarus Vatandaşı 4 Milyar Dolarlık Kripto Para Aklama Suçundan 25 Yıl Hapis Cezasıyla Karşı Karşıya