Theo Ars Technica, các nhà nghiên cứu từ Akamai đã công bố một mạng dựa trên Mirai mà họ đặt tên là NoaBot đã nhắm mục tiêu vào các thiết bị Linux ít nhất từ tháng 1 năm ngoái. Đây là phiên bản tùy chỉnh của Mirai, malware lây nhiễm vào các máy chủ, bộ định tuyến, camera IP dựa trên Linux và các thiết bị Internet of Things.

Mirai bị phát hiện vào năm 2016 khi thực hiện các cuộc tấn công từ chối dịch vụ phân tán lập kỷ lục, làm tê liệt hầu hết các dịch vụ internet quan trọng. Những kẻ tạo ra malware này đã sớm phát hành mã nguồn, động thái cho phép nhiều nhóm tội phạm trên khắp thế giới kết hợp Mirai vào các chiến dịch tấn công của riêng họ. Khi chiếm được thiết bị, Mirai sử dụng nó làm nền tảng để lây nhiễm sang các thiết bị khác, thiết kế khiến nó trở thành một con sâu (worm).

Mirai và nhiều biến thể đã lây lan khi thiết bị bị nhiễm thực hiện dò tìm trên internet để tìm các thiết bị chấp nhận kết nối Telnet. Sau đó, malware sẽ bẻ khóa mật khẩu Telnet bằng cách đoán các cặp thông tin xác thực mặc định và thường được sử dụng. Khi thành công, các thiết bị mới bị lây nhiễm sẽ nhắm mục tiêu vào các thiết bị khác với kỹ thuật tương tự. Mirai chủ yếu được sử dụng để thực hiện DDoS và với tập hợp rất nhiều thiết bị như vậy đem lại cho mạng botnet này sức mạnh to lớn.

Thay vì nhắm mục tiêu dùng mật khẩu Telnet yếu, NoaBot nhắm vào mật khẩu các kết nối SSH. Và thay vì thực hiện tấn công từ chối dịch vụ, botnet mới cài đặt chương trình khai thác tiền điện tử, giúp tin tặc thu hoạch tiền số bằng cách dùng tài nguyên máy tính, điện và băng thông của nạn nhân. Công cụ khai thác tiền điện tử là phiên bản sửa đổi của XMRig, một phần mềm độc hại nguồn mở khác.

Akamai đã theo dõi NoaBot trong năm qua từ một honeypot bắt chước các thiết bị Linux để theo dõi các cuộc tấn công khác nhau đang diễn ra trên internet. Các cuộc tấn công bắt nguồn từ 849 địa chỉ IP riêng biệt, hầu hết đều có khả năng lưu trữ một thiết bị đã bị nhiễm virus.

Nhà nghiên cứu tại Akamai cho rằng nhìn bề ngoài, NoaBot không phải là một chiến dịch phức tạp, nó chỉ là biến thể của Mirai và một công cụ khai thác tiền điện tử XMRig. Tuy nhiên, sự xáo trộn được thêm vào malware và các bổ sung vào mã nguồn ban đầu đã vẽ nên một bức tranh hoàn toàn khác về khả năng của các tác nhân đe dọa.

Khả năng tiên tiến nhất là cách NoaBot cài đặt biến thể XMRig. Thông thường, khi cài đặt công cụ khai thác tiền điện tử, tiền của ví sẽ được phân phối theo chỉ định trong cài đặt cấu hình được gửi trong dòng lệnh đến thiết bị bị nhiễm. Cách này từ lâu đã gây ra rủi ro cho các tác nhân đe dọa vì cho phép các nhà nghiên cứu theo dõi nơi lưu trữ ví và số tiền đã chảy vào túi tin tặc.

NoaBot sử dụng một kỹ thuật mới để ngăn chặn, botnet này lưu trữ cài đặt ở dạng mã hóa hoặc làm xáo trộn và chỉ giải mã chúng sau khi XMRig được tải vào bộ nhớ. Sau đó, botnet sẽ thay thế biến nội bộ - thường giữ các cài đặt cấu hình dòng lệnh - và chuyển quyền kiểm soát cho mã nguồn XMRig.