Το NoaBot, ένα νέο botnet που βασίζεται στο γνωστό Mirai, χρησιμοποιείται από hackers ως μέρος μιας εκστρατείας εξόρυξης crypto. Αυτές οι επιθέσεις έχουν ξεκινήσει από τις αρχές του 2023.
“Οι δυνατότητες του νέου botnet, NoaBot, περιλαμβάνουν wormable self-spreader και ένα SSH key backdoor για λήψη και εκτέλεση πρόσθετων binaries ή διάδοση σε νέα θύματα“, δήλωσε ο ερευνητής ασφαλείας της Akamai, Stiv Kupchik.
Το Mirai, του οποίου ο source code διέρρευσε το 2016, έχει χρησιμοποιηθεί για τη δημιουργία πολλών νέων botnets.
Δείτε επίσης: QNAP VioStor NVR: Ευπάθεια εκμεταλλεύεται ενεργά από botnet
Υπάρχουν ενδείξεις ότι το νέο NoaBot botnet θα μπορούσε να συνδεθεί με μια άλλη καμπάνια botnet που περιλαμβάνει μια οικογένεια κακόβουλου λογισμικού που βασίζεται σε Rust, γνωστή ως P2PInfect. Αυτό βασίζεται στο γεγονός ότι οι φορείς απειλών έχουν πειραματιστεί επίσης με την εγκατάσταση του P2PInfect στη θέση του NoaBot σε πρόσφατες επιθέσεις.
Το spreader module του NaoBot αξιοποιεί έναν SSH scanner για αναζήτηση διακομιστών που είναι ευάλωτοι σε επιθέσεις dictionary. Αφού γίνει παραβίαση, προστίθεται ένα SSH public key στο αρχείο .ssh/authorized_keys για απομακρυσμένη πρόσβαση. Το malware έχει, επίσης, τη δυνατότητα να κατεβάσει και να εκτελέσει επιπλέον binaries μετά την επιτυχή εκμετάλλευση ή να διαδοθεί σε νέα θύματα.
“Το NoaBot έχει γίνει compiled με το uClibc, το οποίο φαίνεται να αλλάζει τον τρόπο με τον οποίο οι μηχανές προστασίας από ιούς εντοπίζουν το κακόβουλο λογισμικό”, σημείωσε ο Kupchik. “Ενώ άλλες παραλλαγές του Mirai εντοπίζονται συνήθως με Mirai signature, τα antivirus signatures του NoaBot είναι ενός SSH scanner ή generic trojan“.
Η μόλυνση οδηγεί τελικά στην ανάπτυξη μιας τροποποιημένης έκδοσης του XMRig coin miner.
Δείτε επίσης: KV-botnet: Παραβιάζει δρομολογητές SOHO και συσκευές VPN
Αυτό που κάνει τη νέα παραλλαγή να ξεχωρίζει από άλλες παρόμοιες καμπάνιες που βασίζονται στο botnet Mirai, είναι ότι δεν περιέχει πληροφορίες σχετικά με το mining pool ή τη διεύθυνση του πορτοφολιού. Έτσι, δεν μπορούμε να ξέρουμε πώς ακριβώς λειτουργεί και πόσα crypto έχουν κλαπεί.
Η Akamai είπε ότι εντόπισε μέχρι σήμερα 849 διευθύνσεις IP θυμάτων σε όλο τον κόσμο
, με πολλές από αυτές να εντοπίζονται στην Κίνα.“Η μέθοδος lateral movement του κακόβουλου λογισμικού είναι μέσω απλών επιθέσεων SSH credentials dictionary“, είπε ο Kupchik. “Ο περιορισμός της αυθαίρετης πρόσβασης SSH στο Διαδίκτυο στο δίκτυό σας μειώνει σημαντικά τους κινδύνους μόλυνσης. Επιπλέον, η χρήση ισχυρών (όχι προεπιλεγμένων ή τυχαία δημιουργημένων) κωδικών πρόσβασης καθιστά επίσης το δίκτυό σας πιο ασφαλές, καθώς το κακόβουλο λογισμικό χρησιμοποιεί μια βασική λίστα κωδικών πρόσβασης που μπορεί να μαντέψει κάποιος εύκολα“.
Προστασία από malware botnet
Για να προστατευθεί κάποιος από τα Malware Botnets, πρέπει πρώτα να ενημερώνεται συνεχώς για τις τελευταίες απειλές και τρόπους προστασίας. Η ενημέρωση και η εκπαίδευση είναι οι πρώτες γραμμές άμυνας κατά των κυβερνοεπιθέσεων.
Δείτε επίσης: GoTitan botnet, PrCtrl RAT και άλλα malware εκμεταλλεύονται Apache bug
Δεύτερον, είναι απαραίτητο να διατηρείται ενημερωμένο το λειτουργικό σύστημα και όλα τα λογισμικά. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή από τις τελευταίες απειλές.
Τρίτον, η χρήση ισχυρού λογισμικού antivirus είναι ζωτικής σημασίας. Αυτά τα εργαλεία μπορούν να εντοπίσουν και να αφαιρέσουν τα malware πριν αυτά προλάβουν να προκαλέσουν ζημιά.
Επίσης, είναι σημαντικό να είμαστε προσεκτικοί με τα emails και τα μηνύματα που λαμβάνουμε. Πολλά malware διαδίδονται μέσω φαινομενικά ακίνδυνων μηνυμάτων που περιέχουν συνημμένα ή συνδέσμους.
Τέλος, η χρήση VPN και η εφαρμογή της διαδικασίας επαλήθευσης δύο παραγόντων μπορεί να βοηθήσει στην προστασία των προσωπικών και ευαίσθητων δεδομένων.
Πηγή: thehackernews.com