NoaBot: Neues Botnet zielt auf SSH-Server für Krypto-Mining
Seit Anfang 2023 verwenden böswillige Angreifer ein neues Botnet namens NoaBot, das auf der Mirai-Technologie basiert. Sie setzen es im Rahmen einer Krypto-Mining-Kampagne ein. Mirai, dessen Quellcode 2016 veröffentlicht wurde, hat verschiedene Botnetze hervorgebracht, darunter zuletzt InfectedSlurs, das in der Lage ist, DDoS-Angriffe durchzuführen.
Laut einem Sicherheitsexperten des Unternehmens Akamai hat der neue NoaBot einige beeindruckende Fähigkeiten, darunter die, sich selbstständig zu verbreiten und eine Hintertür für SSH-Schlüssel zu erstellen. Das ermögliche es ihm, zusätzliche Dateien herunterzuladen und auszuführen, oder sich auf neue Ziele zu übertragen.
Es gibt Anzeichen dafür, dass NoaBot möglicherweise mit einer anderen Botnet-Kampagne namens P2PInfect in Verbindung steht. P2PInfect ist eine Malware-Familie, die auf Rust basiert und erst kürzlich aktualisiert wurde, um Router und IoT-Geräte anzugreifen.
In den Analysen einiger Angriffe wurde beobachtet, dass die Akteure statt NoaBot die Malware P2PInfect verwendeten. Dies deutet darauf hin, dass sie möglicherweise versuchen, auf benutzerdefinierte Malware umzusteigen.
Obwohl NoaBot auf der Mirai-Technologie basiert, verwendet sein Verbreitungsmodul einen SSH-Scanner, um nach Servern zu suchen, die für einen Wörterbuchangriff anfällig sind, um sich brachial Zugang zu verschaffen. Bei Erfolg fügt NoaBot einen öffentlichen SSH-Schlüssel in die Datei .ssh/authorized_keys für den Fernzugriff ein. Bei Bedarf kann er auch zusätzliche Dateien herunterladen und ausführen oder sich selbst an neue Ziele weiterreichen.
NoaBot wurde mit uClibc kompiliert. Das scheint dazu zu führen, dass Antivirenprogramme die Malware anders erkennen, als üblich. Normalerweise werden andere Mirai-Varianten durch eine spezifische Mirai-Signatur erkannt. Bei NoaBot hingegen sind die Antiviren-Signaturen eher die eines SSH-Scanners oder eines allgemeinen Trojaners.
Die Angriffskette beinhaltet nicht nur Verschleierungstaktiken, um die Analyse zu erschweren, sondern führt letztlich auch zum Einsatz einer modifizierten Version des XMRig-Krypto-Miners.
Was diese neue Variante von anderen Mirai-Botnet-basierten Kampagnen unterscheidet, ist, dass sie keine Informationen über den Mining-Pool oder die Wallet-Adresse enthält. Dadurch wird es unmöglich, die Rentabilität des illegalen Kryptowährungs-Minings zu bewerten.
Laut Akamai zeichnet sich diese Bedrohung durch ihre Vorbereitung aus, da der Miner seine Konfiguration verschleiert und einen benutzerdefinierten Mining-Pool verwendet, um die Wallet-Adresse zu verbergen. Das Unternehmen hat bisher 849 Opfer-IP-Adressen identifiziert, die weltweit verteilt sind. Eine vergleichsweise hohe Konzentration ist in China zu verzeichnen.
Die Malware verbreitet sich lateral über Wörterbuch-Angriffe mit einfachen SSH-Anmeldedaten. Um das Infektionsrisiko zu verringern, wird empfohlen, den SSH-Zugang zu Netzwerken einzuschränken. Darüber hinaus erhöht die Verwendung von sicheren Passwörtern (keine Standard- oder Zufallspasswörter) die Sicherheit des Netzwerks, da die Malware eine Basisliste mit erratbaren, beziehungsweise häufig genutzten Passwörtern verwendet.