Sürekli gelişen siber güvenlik tehditleri dünyasında, Linux sunucularını hedef alan yeni bir tehdit ortaya çıktı. Kötü şöhretli Mirai kötü amaçlı yazılımını temel alan bir botnet olan NoaBot, zayıf SSH kimlik bilgilerinden yararlanmak ve kripto madencilik yazılımı yüklemek için yeniden tasarlandı. Bu gelişmiş tehdit, Çin'deki enfekte IP adreslerinin önemli bir yoğunluğu ile dünya çapında binlerce sistemi etkiledi.
NoaBot'un Yükselişi
2023'ün başından beri aktif olan NoaBot kampanyası, başlangıçta Dağıtık Hizmet Engelleme (DDoS) saldırılarına odaklanan Mirai'nin kullanımında bir değişimi temsil ediyor. Araştırmacılar Akamai sunucuların kontrolünü ele geçirmek ve kripto para madenciliği yapmak için bilgi işlem güçlerinden yararlanmak için daha gizli bir yaklaşım kullanan bu yeni tehdidi özenle izliyor. Telnet açıklarından yararlanan selefinin aksine NoaBot, sunuculara sızmak için kaba kuvvet SSH tarayıcısı kullanıyor.
Akamai'de bir güvenlik araştırmacısı olan Stiv Kupchik, "Kötü amaçlı yazılımın yanal hareket yöntemi, eski SSH kimlik bilgileri sözlük saldırılarıdır" dedi. Kupchik ayrıca ağ güvenliğini artırmak için güçlü parolaların ve sınırlı SSH erişiminin önemini vurguladı.
Teknik Gelişmişlik
NoaBot'un teknik karmaşıklığı, yapılandırmasını gizleme ve şifreleme yeteneğinde yatmaktadır, bu da araştırmacıların analiz etmesini ve izlemesini zorlaştırmaktadır. Kötü amaçlı yazılım, yaygın olarak kullanılan uzlaşma göstergeleri (IOC'ler) olan komut satırı yapılandırmalarını kullanmaktan kaçınır. Bunun yerine, yalnızca belleğe yüklendiğinde şifresi çözülen şifreli yapılandırmalar kullanır. Bu gizleme seviyesi, tehdit aktörleri arasında daha yüksek derecede teknik kabiliyete işaret etmektedir.
Botnet, botnet'in değiştirilmiş bir sürümünü XMRigMonero (XMR) kripto para birimi madenciliği yapmak için popüler bir açık kaynak kriptominer. Madencilik havuzu ve cüzdan adresi bilgileri kötü amaçlı yazılımın şifreli yapılandırması içinde gizlidir, bu da saldırganların kendi özel madencilik havuzlarını işletiyor olabileceklerini düşündürmektedir.
Küresel Etki ve Önleme
Tespit edilen 849'dan fazla kurban IP adresi ile NoaBot'un yayılması siber güvenlik camiasında alarmlara neden oldu. NoaBot'un yayıcı modülü, sunucuları kaba kuvvete tabi tutmak için bir SSH tarayıcısı kullanıyor ve uzaktan erişim için bir SSH genel anahtarı ekliyor. The Hacker News. NoaBot'un uClibc ile derlenmesi, antivirüs motorlarının onu nasıl algıladığını etkiler ve genellikle genel bir truva atı veya bir SSH tarayıcısı olarak yanlış tanımlar.
NoaBot'un yarattığı riskleri azaltmak için Akamai, SSH erişiminin kısıtlanmasını ve güçlü parolalar kullanılmasını önermektedir. Ayrıca, NoaBot'un SSH tarayıcısı tarafından kullanılan "hi" mesajının varlığını tespit etmek için güvenlik duvarı imzaları oluşturmayı öneriyorlar. Akamai şunları yayınlamıştır GitHub'da uzlaşma göstergeleri ve YARA tespit imzaları NoaBot enfeksiyonlarının tespit edilmesine ve önlenmesine yardımcı olmak için.
P2PInfect: NoaBot'un Eşlikçi Tehdidi
İlginç bir şekilde, NoaBot'un arkasındaki aynı grubun, Redis örneklerinden yararlanan ve bir SSH tarayıcısı içeren bir solucan olan P2PInfect'in özel bir sürümünü kullandığına inanılıyor. Bu solucan Nesnelerin İnterneti (IoT) cihazlarını hedef alıyor ve daha önce CSO Online ve Palo Alto Ağları.
Daha Geniş Bağlam
NoaBot'un ortaya çıkışı, siber uzaydaki sürekli tehdit ortamının keskin bir hatırlatıcısıdır. Hacker grupları taktiklerini geliştirmeye devam ettikçe, sağlam siber güvenlik önlemlerinin önemi yadsınamaz. NoaBot vakası, sofistike siber tehditler karşısında sürekli tetikte olma ve uyum sağlama ihtiyacını vurgulamaktadır.
Linux cihazları dünyasında NoaBot'un ortaya çıkışı önemli bir gelişmedir. Linux'a kadar uzanan bir soyağacı ile Mirai botnet2016'da büyük DDoS saldırılarıyla manşetlere çıkan NoaBot, kötü amaçlı yazılım evrimi hikayesinin en son bölümünü temsil ediyor. Linux sunucuları internet altyapısının kritik bir parçası olmaya devam ettiğinden, bunları NoaBot gibi tehditlerden korumak çevrimiçi sistemlerin güvenliğini ve bütünlüğünü korumak için çok önemlidir.
"Görünürde NoaBot çok sofistike bir kampanya değil - 'sadece' bir Mirai varyantı ve bir XMRig kriptomineri ve bugünlerde bunlar bir düzine. Bununla birlikte, kötü amaçlı yazılıma eklenen gizlemeler ve orijinal kaynak koduna yapılan eklemeler, tehdit aktörlerinin yetenekleri hakkında çok farklı bir resim çiziyor." Akamai Kıdemli Güvenlik Araştırmacısı Stiv Kupchik bir Ars Technica makalesi.
Siber güvenlik camiası NoaBot'un yükselişiyle boğuşmaya devam ederken, araştırmacılar ve kolluk kuvvetleri arasındaki işbirliği siber suçluların çabalarını engellemede önemini koruyor. OPERA1ER adlı hacker grubunun üst düzey bir üyesinin Interpol tarafından tutuklanması CSO Onlinebu tür işbirliklerinin ne kadar etkili olduğunun bir kanıtıdır. Siber suçlarla mücadele devam etmektedir ve önemli bir siber suçlunun yakalanması gibi her zafer dijital dünyanın güvenliğini güçlendirmektedir.