Akamai Technologiesは1月10日(米国時間)、「You Had Me at Hi — Mirai-Based NoaBot Makes an Appearance|Akamai」において、2023年初頭から活動しているとみられる暗号資産のマイニングをサイバー攻撃のキャンペーンを新たに発見したと伝えた。このキャンペーンではボットネット「Mirai」の新しい亜種として「NoaBot」が確認されている。
-
You Had Me at Hi — Mirai-Based NoaBot Makes an Appearance|Akamai
ボットネット「NoaBot」の概要
Akamaiのセキュリティ研究者によると、NoaBotはSSHプロトコルを介して拡散するボットネットで、追加のバイナリをダウンロードして実行する機能や感染を拡大する機能を持つとされる。また、このキャンペーンでは2023年に発見されたボットネット「P2PInfect」を展開する事案も確認されている。
-
NoaBotの活動推移 引用:Akamai
NoaBotは従来のMiraiと違い、telnetからSSHを使った拡散方法に変更されているが、SSHポートスキャン時に意味のない文字列「hi」を送信する特徴があるという。また、MiraiはGCCコンパイラを使用して実行可能ファイルを生成していたが、NoaBotはuClibcを使用するという変更点が発見されている。このため、アンチウイルスソフトウェアはMiraiシグネチャによる検出ができず、他のマルウェアとして検出するとされる。
暗号資産マイニングについては、マイニング型マルウェア「XMRig」の使用が確認されている。XMRigの実行に必要な構成情報の一部は難読化されて埋め込まれており、実行時に復元してコマンドライン引数として渡す方法が取られている。特にプールのドメイン名はGoogleのDNSサーバを使用して名前解決し、IPアドレスを渡す処理を持つという。Akamaiはこの処理の分析時に名前解決に失敗したことを観察しており、脅威アクターはすでにドメインを破棄して別の手段に移行したとみられている。
ボットネット「NoaBot」による攻撃の実態
Akamaiのハニーポット(不正アクセスを調査するために設置された罠)に対する攻撃から、NoaBotに感染しているとみられるデバイスは少なくとも849件確認されている。これらデバイスは日本を含め世界中に均等に拡散している様子が観察されているが、中国が特に多く、全体の約10%に相当するという。
-
NoaBotの感染分布 引用:Akamai
AkamaiはNoaBotによる攻撃を防ぐために、SSHアクセスを許可するIPアドレスを制限することに加え、強力なパスワードの使用を推奨している。なお、NoaBotが保持する認証情報の一覧を「akamai-security-research/malware/noabot/credentials at main · akamai/akamai-security-research · GitHub」にて公開しており、危険なユーザー名、パスワードを使用していないか確認することができる。
また、NoaBotの調査の過程で判明したセキュリティ侵害インジケータ(IoC: Indicator of Compromise)と検出用のYaraルールを「akamai-security-research/malware/noabot at main · akamai/akamai-security-research · GitHub」にて公開しており、必要に応じて活用することが望まれている。
