NoaBot – Nowy botnet kryptominingowy bazujący na Mirai, atakuje Linux przez słabe hasła SSH

Badacze z Akamai odkryli nowego szkodnika o nazwie NoaBot, bazującego na znanym botnecie Mirai. W odróżnieniu od Mirai, który głównie stosowany był do ataków DDoS, NoaBot koncentruje się na wykorzystaniu słabych haseł SSH, aby infekować serwery Linux i instalować oprogramowanie do kopania kryptowalut. Malware ten działa aktywnie od stycznia 2023 roku, wykorzystując zasoby serwerów ofiar do generowania kryptowalut, co obciąża ich prąd i zużycie danych.

Jak działa NoaBot?

NoaBot, podobnie jak Mirai, infekuje urządzenia oparte na systemie Linux, takie jak serwery, routery i urządzenia IoT. Zamiast jednak przeprowadzać ataki DDoS, NoaBot łamie słabe hasła SSH, aby uzyskać dostęp do serwera, a następnie instaluje oprogramowanie do kopania kryptowalut. W przeciwieństwie do klasycznej wersji Mirai, NoaBot korzysta z biblioteki UClibc, co sprawia, że jest trudniejszy do wykrycia przez standardowe oprogramowanie antywirusowe, które klasyfikuje go jako trojana lub skanera SSH.

Dodatkowo, NoaBot używa niestandardowego skanera SSH oraz zmodyfikowanego słownika do łamania haseł, a jego złośliwy kod uruchamiany jest z losowo wygenerowanego katalogu, co utrudnia jego wykrycie. Po udanym przełamaniu zabezpieczeń, NoaBot instaluje nowy klucz SSH, co daje atakującym stały dostęp do systemu.

Rozbudowany malware z nietypowymi cechami

Ciekawostką jest fakt, że w kodzie NoaBot można znaleźć fragmenty tekstu z piosenki "Who's Ready for Tomorrow" zespołu Rat Boy. NoaBot posiada również opcje ustawień, w tym flagę „noa”, która instaluje metodę przetrwania, dzięki czemu oprogramowanie uruchamia się ponownie po restarcie systemu. Dodatkowo, hakerzy modyfikują oprogramowanie XMRig do kopania kryptowalut, umożliwiając mu wyodrębnienie konfiguracji kopania przed rozpoczęciem działania, co pozwala im na wykorzystanie prywatnej kopalni kryptowalut zamiast publicznej, eliminując potrzebę portfela kryptowalutowego.

Rekomendacje zabezpieczeń przed NoaBot

Badacze z Akamai zalecają administratorom serwerów Linux podjęcie środków zapobiegawczych, aby chronić się przed NoaBot:

Regularne aktualizowanie oprogramowania – najnowsze wersje zapewniają lepsze zabezpieczenia przed znanymi exploitami.

Silne hasła i dwuskładnikowa autoryzacja (2FA) – słabe hasła są głównym celem NoaBot.

Monitorowanie nieautoryzowanej aktywności – wczesne wykrycie anomalii może pomóc zapobiec rozprzestrzenieniu się infekcji.

NoaBot, podobnie jak jego poprzednik Mirai, jest zaawansowanym zagrożeniem dla serwerów Linux oraz urządzeń IoT. Jego zdolność do przechwytywania słabych połączeń SSH oraz wydobywania kryptowalut bez wiedzy właścicieli urządzeń podkreśla konieczność wdrażania rygorystycznych zasad bezpieczeństwa w systemach operacyjnych Linux.

Źródło: https://hackread.com/mirai-noabot-botnet-linux-cryptominer/