Der Sicherheitsfirma Akamai ist es gelungen, eine gefährliche Krypto-Mining-Kampagne namens NoaBot zu entdecken. Diese Kampagne nutzt das SSH-Protokoll, um sich auf Linux-basierte IoT-Geräte zu verbreiten und basiert auf dem bekannten Mirai-Botnet. NoaBot wird hauptsächlich für Distributed-Denial-of-Service-Angriffe (DDoS) eingesetzt. Die Identifizierung und Bekämpfung solcher Bedrohungen ist von großer Bedeutung, da sie die Integrität und Sicherheit von IoT-Geräten und Netzwerken gefährden können.
NoaBot: Krypto-Mining-Malware nutzt SSH-Backdoor und Wurm zur Verbreitung
NoaBot ist eine gefährliche Krypto-Mining-Malware, die auf Linux-basierte IoT-Geräte abzielt. Sie wurde von Angreifern modifiziert und enthält einen Wurm zur Selbstverbreitung sowie eine SSH-Schlüssel-Backdoor. Mit Hilfe dieser Backdoor kann das Botnet zusätzliche bösartige Binärdateien herunterladen und ausführen oder sich auf andere Geräte verbreiten. Als Teil des Angriffs verwendet NoaBot eine speziell angepasste Version des XMRig-Miners, um Kryptowährungen zu minen. Der Miner tarnt seine Konfiguration und nutzt einen benutzerdefinierten Mining-Pool, um die Wallet-Adresse zu verstecken.
Nachdem der NoaBot-Angriff Anfang 2023 von Akamai entdeckt wurde, haben Sicherheitsforscher weitere Varianten dieser Malware identifiziert. Diese Varianten zeichnen sich durch zusätzliche Verschleierungen und Veränderungen der Command-and-Control- (C2) und Mining-Pool-Domänen aus. Es gab auch Vorfälle, bei denen der P2PInfect-Wurm verbreitet wurde, was darauf hindeutet, dass beide Kampagnen zusammenhängen. Diese Entwicklungen zeigen, dass die Angreifer ihre Angriffsmethoden anpassen und weiterentwickeln, um IoT-Geräte zu infizieren und Krypto-Mining-Angriffe durchzuführen.
Um die Verbreitung von NoaBot zu stoppen und IoT-Geräte zu schützen, hat das Akamai-Team eine Reihe von Maßnahmen ergriffen. Dazu gehört die Veröffentlichung einer Liste von Kompromissindikatoren und YARA-Erkennungssignaturen auf ihrem GitHub-Repository. Diese Indikatoren und Signaturen können verwendet werden, um NoaBot-Binärdateien zu erkennen und zu entfernen. Darüber hinaus empfehlen die Sicherheitsforscher, den SSH-Zugriff auf vertrauenswürdige IP-Adressen zu beschränken und die Nutzung der schlüsselbasierten Authentifizierung für eine verbesserte Sicherheit von IoT-Geräten.
NoaBot stellt eine ernsthafte Bedrohung für IoT-Geräte dar, da es Angreifern ermöglicht, diese zu infiltrieren und für bösartige Zwecke zu nutzen. Es ist von entscheidender Bedeutung, dass Nutzer und IoT-Enthusiasten geeignete Schutzmaßnahmen ergreifen, um ihre Geräte und Netzwerke vor dieser Bedrohung zu sichern. Die Veröffentlichung der Kompromissindikatoren und Erkennungssignaturen durch das Akamai-Team ist ein wichtiger Schritt, um das Risiko von Krypto-Mining-Angriffen zu minimieren und die Sicherheit der IoT-Infrastruktur zu gewährleisten.