Sejak awal tahun 2023, para pelaku ancaman telah menggunakan botnet baru yang disebut NoaBot, yang berbasis Mirai, dalam kampanye penambangan kripto. Menurut laporan yang dibagikan kepada The Hacker News oleh peneliti keamanan Akamai, Stiv Kupchik, NoaBot memiliki kemampuan self-spreader yang dapat menyebar seperti worm dan menggunakan pintu belakang kunci SSH untuk mengunduh dan mengeksekusi biner tambahan atau menyebar ke korban baru.
Mirai, yang kode sumbernya bocor pada tahun 2016, telah menjadi basis bagi berbagai botnet, termasuk yang terbaru, InfectedSlurs, yang dapat melakukan serangan penolakan layanan terdistribusi (DDoS). Terdapat indikasi bahwa NoaBot mungkin terkait dengan kampanye botnet lain yang menggunakan keluarga malware berbasis Rust yang dikenal sebagai P2PInfect. P2PInfect baru-baru ini diperbarui untuk menargetkan router dan perangkat IoT.
Meskipun NoaBot berdasarkan Mirai, modul penyebarannya menggunakan pemindai SSH untuk mencari server yang rentan terhadap serangan kamus dan menambahkan kunci publik SSH untuk akses jarak jauh. Opsionalnya, botnet ini dapat mengunduh dan mengeksekusi biner tambahan setelah eksploitasi berhasil atau menyebar ke korban baru.
NoaBot, yang dikompilasi dengan uClibc, tampaknya berhasil menghindari deteksi malware oleh mesin antivirus dengan mengubah cara pemindai SSH atau trojan generik mendeteksinya, bukan dengan tanda tangan Mirai seperti varian Mirai lainnya.
Salah satu fitur unggulan dari NoaBot adalah ketidakberadaan informasi tentang kumpulan penambangan atau alamat dompet, membuatnya sulit untuk menilai profitabilitas skema penambangan kripto ilegal ini. Meskipun demikian, analisis menyimpulkan bahwa botnet ini menggunakan versi modifikasi dari penambang koin XMRig.
Akamai mengidentifikasi 849 alamat IP korban hingga saat ini, tersebar di seluruh dunia dengan konsentrasi tinggi di Tiongkok, mencapai hampir 10% dari serangan honeypots pada tahun 2023. Kupchik menyarankan pembatasan akses SSH internet dan penggunaan kata sandi yang kuat sebagai langkah-langkah mitigasi untuk mengurangi risiko infeksi oleh malware ini.
Source: https://thehackernews.com/2024/01/noabot-latest-mirai-based-botnet.html