Среди функциональных возможностей NoaBot – самораспространение по типу сетевого червя, а также скачивание и выполнение на сервере дополнительных бинарников. Атаки ботнета проходят по всему миру.
NoaBot – новый ботнет, основанный на известном Mirai. Он уже был замечен в компаниях криптомайнинга. Его особенность – самораспространяющийся компонент и SSH-бэкдор, пишут на сайте ИБ-компании Akamai.com.
Модуль NoaBot, отвечающий за распространение, задействует SSH-сканер для поиска уязвимых к подбору паролей серверов. Вредоносное ПО использует нестандартные библиотеки и методы шифрования, чтобы затруднить обнаружение и анализ вредоносного ПО. При необходимости NoaBot легко загружает и выполняет дополнительные бинарники, а также пытается найти новые жертвы и перескочить на них.
Исследователям из Akamai удалось выявить 849 IP-адресов жертв нового ботнета. Основная часть заражений пришлась на Китай, хотя географически киберпреступники не привязываются к какой-либо стране.
Юлия Парфенова, менеджер направления «контроль целостности» Efros DefenceOperations, ООО «Газинформсервис» говорит, что сетевые черви всегда были популярны у злоумышленников.
«Хакеры постоянно стараются найти новые способы взломаIT-инфраструктур и появление нового ботнета – это дополнительный инструмент для массовых атак. Важно понимать, что защищать свою IT-инфраструктуру необходимо не только с помощью антивирусов, но также использовать и другие инструменты защиты, такие как контроль целостности, контроль доступа, использовать жесткую парольную политику. Такой набор действий значительно усложнит процесс взлома, и увеличит вероятность быстрого обнаружения попыток проникновения в сеть. Так, например, изменения файловой системы, появление новых бинарных файлов будет обнаружено с помощью инструмента контроля целостности», – Юлия Парфенова.