Akamai hat eine neue Krypto-Mining-Kampagne entdeckt, die seit Anfang 2023 aktiv ist. Es handelt sich um NoaBot, ein weiteres auf Mirai basierendes Botnet, das sich über das SSH-Protokoll verbreitet. Das Mirai-Botnetz ist ein Wurm, der auf Linux-basierte IoT-Geräte abzielt. Er wird für Distributed-Denial-of-Service-Angriffe (DDoS) eingesetzt. Das ursprüngliche Mirai-Botnet wurde im Jahr 2016 identifiziert und ist mittlerweile in zahlreichen Varianten bekannt.
Die Malware wurde von den Bedrohungsakteuren modifiziert. Das neue NoaBot-Botnet verfügt unter anderem über einen Wurm zur Selbstverbreitung und eine SSH-Schlüssel-Backdoor, um zusätzliche Binärdateien herunterzuladen und auszuführen oder sich an neue Opfer weiterzuverbreiten.
Als Teil des Angriffs wird eine modifizierte Version des XMRig-Miners (Open-Source-Software für das Mining von Kryptowährungen) platziert. Der Miner verschleiert seine Konfiguration und verwendet außerdem einen benutzerdefinierten Mining-Pool. Damit verhindert er, dass die vom Miner verwendete Wallet-Adresse offengelegt wird.
Akamai entdeckte die NoaBot-Kampagne erstmals Anfang 2023. Seitdem haben die Sicherheitsforscher zwei Weiterentwicklungen der Malware verfolgt, die aus zusätzlichen Verschleierungen oder einem Wechsel der Command-and-Control- (C2) und Mining-Pool-Domänen bestehen. Zudem wurden mehrere Vorfälle beobachtet, bei denen Muster des P2PInfect-Wurms versendet wurden, was darauf hindeutet, dass die beiden Kampagnen miteinander in Verbindung stehen.
Das Akamai-Team hat auf seinem GitHub-Repository eine Liste von Kompromissindikatoren sowie YARA-Erkennungssignaturen veröffentlicht, die zur Erkennung von NoaBot-Binärdateien verwendet werden können. Die Beschränkung des SSH-Zugriffs auf vertrauenswürdige IP-Adressen und die Verwendung von schlüsselbasierter Authentifizierung sind natürlich ebenfalls sehr empfehlenswert und gehören zur Standard-SSH-Absicherung.