Red de bots NoaBot
Los actores de amenazas han empleado una botnet recientemente surgida llamada NoaBot, que se basa en el marco Mirai, en una iniciativa de criptominería. Se cree que la operación ha estado en curso desde al menos principios de 2023. NoaBot cuenta con características como un gusano que se propaga automáticamente y una puerta trasera con clave SSH, que permite la descarga y ejecución de archivos binarios adicionales o la propagación a nuevos objetivos.
Tabla de contenido
El código de Mirai todavía se utiliza para la creación de nuevo malware
La botnet Mirai es una cepa de malware notoria que se dirige principalmente a dispositivos de Internet de las cosas (IoT). La publicación del código fuente permitió a otros actores maliciosos crear sus propias versiones del malware, lo que provocó una proliferación de botnets basadas en Mirai. Esta disponibilidad generalizada del código fuente contribuyó a un aumento en el número y la escala de los ataques relacionados con IoT, lo que plantea importantes desafíos para los profesionales de la ciberseguridad y los fabricantes de dispositivos. De hecho, desde su descubrimiento han surgido numerosas variantes y derivados de la botnet Mirai, cada una con sus propias modificaciones y mejoras. Estas variantes suelen apuntar a vulnerabilidades específicas o centrarse en diferentes tipos de dispositivos de IoT. Algunas de las infames botnets basadas en Mirai incluyen Reaper, Satori y Okiru. Una de las botnets más recientes que utiliza el código de Mirai es InfectedSlurs, que es capaz de llevar a cabo ataques de denegación de servicio distribuido (DDoS).
Características específicas de la botnet NoaBot
Hay indicios que sugieren una posible conexión entre NoaBot y otra campaña de botnet asociada con una familia de malware basada en Rust llamada P2PInfect. Este malware en particular se actualizó recientemente para centrarse en enrutadores y dispositivos de Internet de las cosas (IoT). La base de esta conexión radica en la observación de que los actores de amenazas han experimentado con la sustitución de P2PInfect por NoaBot en ataques recientes a servidores SSH, lo que sugiere posibles esfuerzos para realizar la transición a malware personalizado.
A pesar de que NoaBot está basado en Mirai, su módulo esparcidor emplea un escáner SSH para identificar servidores vulnerables a ataques de diccionario, lo que le permite realizar intentos de fuerza bruta. Posteriormente, el malware agrega una clave pública SSH al archivo .ssh/authorized_keys, lo que permite el acceso remoto. Opcionalmente, NoaBot puede descargar y ejecutar binarios adicionales luego de una explotación exitosa o propagarse a nuevas víctimas.
En particular, NoaBot está compilado con uClibc, lo que altera la forma en que los motores de seguridad detectan el malware. Mientras que otras variantes de Mirai normalmente se identifican mediante una firma Mirai, las firmas antimalware de NoaBot lo clasifican como un escáner SSH o un troyano genérico. Además de emplear tácticas de ofuscación para complicar el análisis, la secuencia de ataque finalmente culmina con el despliegue de una versión modificada del minero de monedas XMRig .
NoaBot está equipado con funciones de ofuscación mejoradas
Lo que distingue a esta nueva variante de otras campañas basadas en botnet Mirai es su notable omisión de información relacionada con el grupo de minería o la dirección de la billetera. Esta ausencia hace que sea difícil evaluar la rentabilidad de la operación minera ilícita de criptomonedas.
El minero toma precauciones adicionales al ofuscar su configuración y utilizar un grupo de minería personalizado, evitando estratégicamente la exposición de la dirección de la billetera. Este nivel de preparación exhibido por los actores de amenazas refleja un esfuerzo deliberado para mejorar el sigilo y la resiliencia de sus operaciones.
Hasta ahora, los investigadores de ciberseguridad han identificado 849 direcciones IP de víctimas repartidas por todo el mundo, con concentraciones significativas observadas en China. De hecho, estos incidentes constituyen casi el 10% de todos los ataques contra honeypots en 2023, lo que subraya el alcance y el impacto global de esta variante en particular.
