Ein Team von Sicherheitsforschern bei Akamai hat eine gefährliche Krypto-Mining-Kampagne namens NoaBot entdeckt. Dieses Botnet basiert auf dem berüchtigten Mirai-Botnet und verwendet das SSH-Protokoll, um sich auf Linux-basierten IoT-Geräten zu verbreiten. Der Wurm, der in dieser Kampagne eingesetzt wird, zielt hauptsächlich auf Distributed-Denial-of-Service-Angriffe (DDoS) ab. Da das ursprüngliche Mirai-Botnet bereits 2016 identifiziert wurde und seitdem viele Varianten hervorgebracht hat, ist es wichtig, dass die Benutzer Maßnahmen ergreifen, um ihre IoT-Geräte zu schützen.
Bedrohliche Entwicklung: NoaBot nutzt SSH-Backdoor und Wurm zur Selbstverbreitung
NoaBot ist eine gefährliche Malware, die auf Linux-basierte IoT-Geräte abzielt und von Angreifern entwickelt wurde. Sie verfügt über einen Wurm zur Selbstverbreitung und eine SSH-Schlüssel-Backdoor. Durch die Backdoor kann das Botnet zusätzliche schädliche Binärdateien herunterladen und ausführen oder sich auf weitere Geräte verbreiten. Im Rahmen des Angriffs nutzt NoaBot eine speziell angepasste Version des XMRig-Miners, um Kryptowährungen zu minen. Der Miner tarnt seine Konfiguration und verwendet einen benutzerdefinierten Mining-Pool, um die verwendete Wallet-Adresse zu verschleiern.
Der NoaBot-Angriff wurde Anfang 2023 von Akamai entdeckt, wobei sich seitdem weitere Varianten dieser Malware entwickelt haben. Diese Varianten beinhalten zusätzliche Verschleierungen und Änderungen der Command-and-Control- (C2) und Mining-Pool-Domänen. Es wurden auch Vorfälle gemeldet, bei denen der P2PInfect-Wurm verbreitet wurde, was darauf schließen lässt, dass beide Kampagnen in Verbindung stehen. Diese Entdeckungen zeigen, dass die Angreifer kontinuierlich daran arbeiten, ihre Angriffstechniken zu verbessern und zu erweitern, um IoT-Geräte anzugreifen und für Krypto-Mining zu nutzen.
Das Akamai-Team hat eine proaktive Maßnahme ergriffen, um Benutzern zu helfen, ihre IoT-Geräte vor der NoaBot-Bedrohung zu schützen. Sie haben eine Liste von Kompromissindikatoren und YARA-Erkennungssignaturen veröffentlicht, die es Benutzern ermöglichen, NoaBot-Binärdateien zu identifizieren und zu entfernen. Zusätzlich zu diesen Indikatoren empfehlen die Sicherheitsforscher, den SSH-Zugriff auf vertrauenswürdige IP-Adressen zu beschränken und die schlüsselbasierte Authentifizierung zu nutzen, um die Sicherheit von IoT-Geräten zu erhöhen.
NoaBot ist eine gefährliche Malware, die es Angreifern ermöglicht, IoT-Geräte zu infiltrieren und für bösartige Aktivitäten zu nutzen. Um die Sicherheit dieser Geräte zu gewährleisten, ist es von entscheidender Bedeutung, dass Nutzer und IoT-Enthusiasten geeignete Schutzmaßnahmen ergreifen. Die Veröffentlichung der Kompromissindikatoren und Erkennungssignaturen durch das Akamai-Team ist ein wichtiger Schritt, um diese Bedrohung einzudämmen und das Risiko von Krypto-Mining-Angriffen auf IoT-Geräte zu minimieren.
