Die Malware wurde von den Bedrohungsakteuren modifiziert. Das neue NoaBot-Botnet verfügt unter anderem über einen Wurm zur Selbstverbreitung und eine SSH-Schlüssel-Backdoor, um zusätzliche Binärdateien herunterzuladen und auszuführen oder sich an neue Opfer weiterzuverbreiten. Als Teil des Angriffs wird eine modifizierte Version des XMRig-Miners (Open-Source-Software für das Mining von Kryptowährungen) platziert. Der Miner verschleiert seine Konfiguration und verwendet außerdem einen benutzerdefinierten Mining-Pool. Damit verhindert er, dass die vom Miner verwendete Wallet-Adresse offengelegt wird.
Akamai entdeckte die NoaBot-Kampagne erstmals Anfang 2023. Seitdem haben die Sicherheitsforscher zwei Weiterentwicklungen der Malware verfolgt, die aus zusätzlichen Verschleierungen oder einem Wechsel der Command-and-Control- (C2) und Mining-Pool-Domänen bestehen. Zudem wurden mehrere Vorfälle beobachtet, bei denen Muster des P2PInfect-Wurms versendet wurden, was darauf hindeutet, dass die beiden Kampagnen miteinander in Verbindung stehen.
Das Akamai-Team hat auf seinem GitHub-Repository eine Liste von Kompromissindikatoren sowie YARA-Erkennungssignaturen veröffentlicht, die zur Erkennung von NoaBot-Binärdateien verwendet werden können. Die Beschränkung des SSH-Zugriffs auf vertrauenswürdige IP-Adressen und die Verwendung von schlüsselbasierter Authentifizierung sind natürlich ebenfalls sehr empfehlenswert und gehören zur Standard-SSH-Absicherung.
Detaillierte Informationen finden Sie in dem aktuellen Akamai Blog: https://www.akamai.com/blog/security-research/mirai-based-noabot-crypto-mining
Akamai unterstützt und schützt das digitale Leben. Führende Unternehmen weltweit setzen bei der Erstellung, Bereitstellung und beim Schutz ihrer digitalen Erlebnisse auf Akamai. So unterstützen wir täglich Milliarden von Menschen in ihrem Alltag, bei der Arbeit und in ihrer Freizeit. Mithilfe der am meisten verteilten Computing-Plattform – von der Cloud bis zur Edge – ermöglichen wir es unseren Kunden, Anwendungen zu entwickeln und auszuführen. So bleiben die Erlebnisse nahe beim Nutzer und Bedrohungen werden ferngehalten. Möchten Sie mehr über die Sicherheits-, Computing- und Bereitstellungslösungen von Akamai erfahren? Dann besuchen Sie uns unter akamai.com/de und akamai.com/de/blog oder folgen Sie Akamai Technologies auf X und LinkedIn.
Akamai Technologies GmbH
Parkring 29
85748 Garching
Telefon: +49 (89) 94006-0
Telefax: +49 (89) 94006-006
http://www.akamai.com
E-Mail: akamai-pr@fleishman.com
