NoaBot: Neues Mirai-basiertes Botnet zielt auf SSH-Server für Krypto-Mining

Sicherheitsforscher von Akamai haben eine neue Krypto-Mining-Kampagne entdeckt, die seit Anfang 2023 aktiv ist. Es handelt sich um NoaBot, ein weiteres auf Mirai basierendes Botnet, das sich über das SSH-Protokoll (Secure Shell) verbreitet. Das Mirai-Botnetz ist ein Wurm, der auf Linux-basierte IoT-Geräte (Internet of Things) abzielt. Er wird für Distributed-Denial-of-Service-Angriffe (DDoS) eingesetzt. Das ursprüngliche Mirai-Botnet wurde im Jahr 2016 identifiziert und ist mittlerweile in zahlreichen Varianten bekannt.

Die Malware wurde von den Bedrohungsakteuren modifiziert. Das neue NoaBot-Botnet verfügt unter anderem über einen Wurm zur Selbstverbreitung und eine SSH-Schlüssel-Backdoor, um zusätzliche Binärdateien herunterzuladen und auszuführen oder sich an neue Opfer weiterzuverbreiten. Als Teil des Angriffs wird eine modifizierte Version des XMRig-Miners (Open-Source-Software für das Mining von Kryptowährungen) platziert. Der Miner verschleiert seine Konfiguration und verwendet außerdem einen benutzerdefinierten Mining-Pool. Damit verhindert er, dass die vom Miner verwendete Wallet-Adresse offengelegt wird.

Akamai entdeckte die NoaBot-Kampagne erstmals Anfang 2023. Seitdem haben die Sicherheitsforscher zwei Weiterentwicklungen der Malware verfolgt, die aus zusätzlichen Verschleierungen oder einem Wechsel der Command-and-Control- (C2) und Mining-Pool-Domänen bestehen. Zudem wurden mehrere Vorfälle beobachtet, bei denen Muster des P2PInfect-Wurms versendet wurden, was darauf hindeutet, dass die beiden Kampagnen miteinander in Verbindung stehen.

Das Akamai-Team hat auf seinem GitHub-Repository eine Liste von Kompromissindikatoren sowie YARA-Erkennungssignaturen veröffentlicht, die zur Erkennung von NoaBot-Binärdateien verwendet werden können. Die Beschränkung des SSH-Zugriffs auf vertrauenswürdige IP-Adressen und die Verwendung von schlüsselbasierter Authentifizierung sind natürlich ebenfalls sehr empfehlenswert und gehören zur Standard-SSH-Absicherung.

Detaillierte Informationen finden Sie in dem aktuellen Akamai Blog: https://www.akamai.com/blog/security-research/mirai-based-noabot-crypto-mining

Über die Akamai Technologies GmbH

Akamai unterstützt und schützt das digitale Leben. Führende Unternehmen weltweit setzen bei der Erstellung, Bereitstellung und beim Schutz ihrer digitalen Erlebnisse auf Akamai. So unterstützen wir täglich Milliarden von Menschen in ihrem Alltag, bei der Arbeit und in ihrer Freizeit. Mithilfe der am meisten verteilten Computing-Plattform – von der Cloud bis zur Edge – ermöglichen wir es unseren Kunden, Anwendungen zu entwickeln und auszuführen. So bleiben die Erlebnisse nahe beim Nutzer und Bedrohungen werden ferngehalten. Möchten Sie mehr über die Sicherheits-, Computing- und Bereitstellungslösungen von Akamai erfahren? Dann besuchen Sie uns unter akamai.com/de und akamai.com/de/blog oder folgen Sie Akamai Technologies auf X und LinkedIn.

Firmenkontakt und Herausgeber der Meldung:

Akamai Technologies GmbH
Parkring 29
85748 Garching
Telefon: +49 (89) 94006-0
Telefax: +49 (89) 94006-006
http://www.akamai.com

Ansprechpartner:

FleishmanHillard
E-Mail: akamai-pr@fleishman.com

Weiterführende Links

Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.