NoaBot ボットネット

脅威アクターは、Mirai フレームワークに基づいて構築された NoaBot という名前の新たに登場したボットネットを暗号通貨マイニングの取り組みに利用しました。この作戦は、少なくとも 2023 年の初めから継続していると考えられています。NoaBot は、自己拡散型ワームや SSH キー バックドアなどの機能を備えており、補足バイナリのダウンロードと実行、または新たなターゲットへの伝播を可能にします。

Mirai のコードは依然として新たなマルウェアの作成に使用されています

Mirai ボットネットは、主にモノのインターネット (IoT) デバイスを標的とする悪名高いマルウェア株です。ソース コードの公開により、他の悪意のある攻撃者が独自のバージョンのマルウェアを作成できるようになり、Mirai ベースのボットネットの急増につながりました。このようにソース コードが広く入手可能になったことで、IoT 関連の攻撃の数と規模が増加し、サイバーセキュリティの専門家やデバイス メーカーに重大な課題をもたらしました。実際、Mirai ボットネットの発見以来、Mirai ボットネットの多数の亜種やスピンオフが出現しており、それぞれに独自の変更や機能強化が加えられています。これらの亜種は、特定の脆弱性をターゲットにしたり、さまざまな種類の IoT デバイスに焦点を当てたりすることがよくあります。悪名高い Mirai ベースのボットネットには、Reaper、Satori、Okiru などがあります。 Mirai のコードを利用する最近のボットネットの 1 つは InfectedSlurs で、分散型サービス拒否 (DDoS) 攻撃を実行できます。

NoaBot ボットネットの特有の特徴

NoaBot と、P2PInfect と呼ばれる Rust ベースのマルウェア ファミリに関連する別のボットネット キャンペーンとの間に潜在的な関係があることを示唆する兆候があります。この特定のマルウェアは最近、ルーターとモノのインターネット (IoT) デバイスをターゲットにすることに重点を置く更新を受けました。この関係の根拠は、SSH サーバーに対する最近の攻撃で、脅威アクターが NoaBot の代わりに P2PInfect を実験しており、カスタム マルウェアに移行する潜在的な取り組みを示唆しているという観察にあります。

NoaBot は Mirai に根ざしているにもかかわらず、そのスプレッダー モジュールは SSH スキャナーを使用して辞書攻撃に対して脆弱なサーバーを特定し、総当たり攻撃の実行を可能にします。その後、マルウェアは SSH 公開キーを .ssh/authorized_keys ファイルに追加し、リモート アクセスを可能にします。オプションで、NoaBot は悪用に成功した後に追加のバイナリをダウンロードして実行したり、新たな被害者に自身を伝播したりすることができます。

特に、NoaBot は uClibc でコンパイルされており、セキュリティ エンジンがマルウェアを検出する方法が変更されています。他の Mirai 亜種は通常、Mirai シグネチャを使用して識別されますが、NoaBot のマルウェア対策シグネチャは、Mirai を SSH スキャナーまたは汎用トロイの木馬として分類します。分析を複雑にするために難読化戦術を採用することに加えて、一連の攻撃は最終的にXMRigコイン マイナーの修正バージョンの導入で最高潮に達します。

NoaBot には強化された難読化機能が装備されています

この新しい亜種が他のMiraiボットネット ベースのキャンペーンと異なる点は、マイニング プールまたはウォレット アドレスに関する情報が著しく省略されていることです。この不在により、違法な暗号通貨マイニング操作の収益性を評価することが困難になります。

マイナーは、設定を難読化し、カスタマイズされたマイニング プールを利用することで追加の予防措置を講じ、ウォレット アドレスの公開を戦略的に防ぎます。脅威アクターが示すこのレベルの準備は、作戦のステルス性と回復力を強化するための意図的な努力を反映しています。

現時点でサイバーセキュリティ研究者らは、世界中に散在する 849 の被害者の IP アドレスを特定しており、特に中国に集中していることが確認されています。実際、これらのインシデントは 2023 年のハニーポットに対するすべての攻撃の 10% 近くを占めており、この特定の亜種の世界的な範囲と影響が浮き彫りになっています。