Akamai-Sicherheitsforscher haben kürzlich eine gefährliche Krypto-Mining-Kampagne namens NoaBot identifiziert. Dieses Botnet basiert auf dem Mirai-Botnet, das 2016 erstmals entdeckt wurde. NoaBot nutzt das SSH-Protokoll, um sich auf Linux-basierte IoT-Geräte zu verbreiten und wird hauptsächlich für Distributed-Denial-of-Service-Angriffe (DDoS) verwendet. Die kontinuierliche Aktivität von Mirai und seinen Varianten zeigt, dass die Bedrohung durch Botnetze und Krypto-Mining-Angriffe eine anhaltende Herausforderung für die Cybersicherheit darstellt.
Neuer NoaBot-Angriff: Modifizierte Version infiltriert IoT-Geräte mit Backdoor
NoaBot ist eine bösartige Software, die von Angreifern entwickelt wurde, um IoT-Geräte anzugreifen. Sie wurde mit einem Wurm zur Selbstverbreitung und einer SSH-Schlüssel-Backdoor modifiziert. Dies ermöglicht dem Botnet, weitere schädliche Binärdateien herunterzuladen und auszuführen oder sich auf weitere Opfer zu verbreiten. Im Rahmen des Angriffs nutzt NoaBot eine speziell angepasste Version des XMRig-Miners, einer Open-Source-Software für das Kryptowährungs-Mining. Der Miner tarnt seine Konfiguration und verwendet einen benutzerdefinierten Mining-Pool, um die verwendete Wallet-Adresse zu verschleiern.
Akamai-Sicherheitsforscher entdeckten Anfang 2023 den NoaBot-Angriff. Seitdem haben sie weitere Varianten dieser Malware identifiziert, die zusätzliche Verschleierungen und Veränderungen der Command-and-Control- (C2) und Mining-Pool-Domänen aufweisen. Es gab auch Vorfälle, bei denen der P2PInfect-Wurm verbreitet wurde, was darauf hinweist, dass beide Kampagnen miteinander verbunden sind. Diese Entdeckungen zeigen, dass die Angreifer ihre Taktiken anpassen und neue Wege finden, um die Sicherheit von IoT-Geräten zu gefährden.
Das Akamai-Team hat Maßnahmen ergriffen, um Benutzern dabei zu helfen, ihre Geräte vor NoaBot zu schützen. Sie haben eine Liste von Kompromissindikatoren und YARA-Erkennungssignaturen veröffentlicht, die dabei helfen, NoaBot-Binärdateien zu identifizieren. Darüber hinaus wird empfohlen, den SSH-Zugriff auf vertrauenswürdige IP-Adressen zu beschränken, um unautorisierten Zugriff zu verhindern. Die Verwendung der schlüsselbasierten Authentifizierung wird ebenfalls empfohlen, um die Sicherheit von IoT-Geräten zu gewährleisten.
NoaBot ist eine ausgeklügelte Malware, die es Angreifern ermöglicht, IoT-Geräte zu infizieren und für ihre Zwecke zu nutzen. Angesichts der zunehmenden Verbreitung von IoT-Geräten ist es von entscheidender Bedeutung, dass Nutzer und IoT-Enthusiasten sich bewusst sind, wie sie ihre Geräte vor dieser Bedrohung schützen können. Die Veröffentlichung der Kompromissindikatoren und Erkennungssignaturen durch das Akamai-Team ist ein wichtiger Schritt, um die Sicherheit der IoT-Infrastruktur zu gewährleisten und potenzielle Angriffe zu minimieren.