Réseau de robots NoaBot
Les acteurs de la menace ont utilisé un nouveau botnet nommé NoaBot, construit sur le framework Mirai, dans le cadre d'une initiative de crypto-minage. On pense que l'opération est en cours depuis au moins début 2023. NoaBot possède des fonctionnalités telles qu'un ver auto-propagé et une porte dérobée de clé SSH, permettant le téléchargement et l'exécution de binaires supplémentaires ou la propagation vers de nouvelles cibles.
Table des matières
Le code de Mirai est toujours utilisé pour la création de nouveaux logiciels malveillants
Le botnet Mirai est une souche de malware notoire qui cible principalement les appareils Internet des objets (IoT). La publication du code source a permis à d'autres acteurs malveillants de créer leurs propres versions du logiciel malveillant, entraînant ainsi une prolifération de réseaux de zombies basés sur Mirai. Cette large disponibilité du code source a contribué à une augmentation du nombre et de l’ampleur des attaques liées à l’IoT, posant des défis importants aux professionnels de la cybersécurité et aux fabricants d’appareils. En effet, de nombreuses variantes et retombées du botnet Mirai ont vu le jour depuis sa découverte, chacune avec ses propres modifications et améliorations. Ces variantes ciblent souvent des vulnérabilités spécifiques ou se concentrent sur différents types d'appareils IoT. Certains des fameux botnets basés sur Mirai incluent Reaper, Satori et Okiru. L'un des botnets les plus récents utilisant le code de Mirai est InfectedSlurs, capable de mener des attaques par déni de service distribué (DDoS).
Caractéristiques spécifiques du botnet NoaBot
Certaines indications suggèrent un lien potentiel entre NoaBot et une autre campagne de botnet associée à une famille de logiciels malveillants basés sur Rust appelée P2PInfect. Ce malware particulier a récemment subi une mise à jour pour se concentrer sur le ciblage des routeurs et des appareils Internet des objets (IoT). La base de ce lien réside dans l'observation selon laquelle les acteurs de la menace ont expérimenté la substitution de P2PInfect à NoaBot lors d'attaques récentes sur des serveurs SSH, faisant allusion à des efforts potentiels de transition vers des logiciels malveillants personnalisés.
Bien que NoaBot soit enraciné dans Mirai, son module de propagation utilise un scanner SSH pour identifier les serveurs vulnérables aux attaques par dictionnaire, lui permettant ainsi d'effectuer des tentatives de force brute. Par la suite, le malware ajoute une clé publique SSH au fichier .ssh/authorized_keys, permettant l'accès à distance. En option, NoaBot peut télécharger et exécuter des fichiers binaires supplémentaires après une exploitation réussie ou se propager à de nouvelles victimes.
Notamment, NoaBot est compilé avec uClibc, modifiant ainsi la façon dont les moteurs de sécurité détectent les logiciels malveillants. Alors que les autres variantes de Mirai sont généralement identifiées à l'aide d'une signature Mirai, les signatures anti-malware de NoaBot le classent comme un scanner SSH ou un cheval de Troie générique. En plus d’utiliser des tactiques d’obscurcissement pour compliquer l’analyse, la séquence d’attaque aboutit finalement au déploiement d’une version modifiée du mineur de pièces XMRig .
NoaBot est équipé de fonctionnalités d'obscurcissement améliorées
Ce qui distingue cette nouvelle variante des autres campagnes basées sur le botnet Mirai est son omission notable d'informations relatives au pool minier ou à l'adresse du portefeuille. Cette absence rend difficile l’évaluation de la rentabilité des opérations d’extraction illicite de cryptomonnaies.
Le mineur prend des précautions supplémentaires en masquant sa configuration et en utilisant un pool de minage personnalisé, empêchant ainsi stratégiquement la divulgation de l'adresse du portefeuille. Ce niveau de préparation affiché par les acteurs de la menace reflète un effort délibéré visant à améliorer la furtivité et la résilience de leurs opérations.
À ce jour, les chercheurs en cybersécurité ont identifié 849 adresses IP de victimes dispersées dans le monde, avec des concentrations importantes constatées en Chine. En fait, ces incidents représentent près de 10 % de toutes les attaques contre les honeypots en 2023, soulignant la portée et l’impact mondiaux de cette variante particulière.
