Sicherheitsforscher von Akamai haben eine neue Krypto-Mining-Kampagne entdeckt, die seit Anfang 2023 aktiv ist. Es handelt sich um NoaBot, ein weiteres auf Mirai basierendes Botnet, das sich \u00fcber das SSH-Protokoll (Secure Shell) verbreitet. Das Mirai-Botnetz ist ein Wurm, der auf Linux-basierte IoT-Ger\u00e4te (Internet of Things) abzielt. Er wird f\u00fcr Distributed-Denial-of-Service-Angriffe (DDoS) eingesetzt. Das urspr\u00fcngliche Mirai-Botnet wurde im Jahr 2016 identifiziert und ist mittlerweile in zahlreichen Varianten bekannt.<\/p>\n
Die Malware wurde von den Bedrohungsakteuren modifiziert. Das neue NoaBot-Botnet verf\u00fcgt unter anderem \u00fcber einen Wurm zur Selbstverbreitung und eine SSH-Schl\u00fcssel-Backdoor, um zus\u00e4tzliche Bin\u00e4rdateien herunterzuladen und auszuf\u00fchren oder sich an neue Opfer weiterzuverbreiten. Als Teil des Angriffs wird eine modifizierte Version des XMRig-Miners (Open-Source-Software f\u00fcr das Mining von Kryptow\u00e4hrungen) platziert. Der Miner verschleiert seine Konfiguration und verwendet au\u00dferdem einen benutzerdefinierten Mining-Pool. Damit verhindert er, dass die vom Miner verwendete Wallet-Adresse offengelegt wird.<\/p>\n
Akamai entdeckte die NoaBot-Kampagne erstmals Anfang 2023. Seitdem haben die Sicherheitsforscher zwei Weiterentwicklungen der Malware verfolgt, die aus zus\u00e4tzlichen Verschleierungen oder einem Wechsel der Command-and-Control- (C2) und Mining-Pool-Dom\u00e4nen bestehen. Zudem wurden mehrere Vorf\u00e4lle beobachtet, bei denen Muster des P2PInfect-Wurms versendet wurden, was darauf hindeutet, dass die beiden Kampagnen miteinander in Verbindung stehen.<\/p>\n
Das Akamai-Team hat auf seinem GitHub-Repository eine Liste von Kompromissindikatoren sowie YARA-Erkennungssignaturen ver\u00f6ffentlicht, die zur Erkennung von NoaBot-Bin\u00e4rdateien verwendet werden k\u00f6nnen. Die Beschr\u00e4nkung des SSH-Zugriffs auf vertrauensw\u00fcrdige IP-Adressen und die Verwendung von schl\u00fcsselbasierter Authentifizierung sind nat\u00fcrlich ebenfalls sehr empfehlenswert und geh\u00f6ren zur Standard-SSH-Absicherung.<\/p>\n