NoaBot est capable de se propager automatiquement et d’installer une porte dérobée SSH pour télécharger et exécuter d’autres binaires ou se répandre sur de nouveaux serveurs.

Présenté dans l’article de « The Hacker News » du 10 janvier 2024, il s’agit d’un nouveau botnet basé sur Mirai utilisé pour le minage de cryptomonnaies via des serveurs SSH depuis début 2023

Mirai, dont le code source a fuité en 2016, a engendré plusieurs botnets, dont le plus récent est InfectedSlurs, spécialisé dans les attaques DDoS.

NoaBot pourrait être lié à une campagne de botnet utilisant un malware en Rust nommé P2PInfect, ciblant les routeurs et les appareils IoT.

Les acteurs de menaces semblent aussi expérimenter avec P2PInfect en remplacement de NoaBot dans des attaques récentes.

Contrairement à d’autres variantes de Mirai, NoaBot utilise un scanner SSH pour réaliser des attaques par force brute et ajouter une clé publique SSH dans le fichier .ssh/authorized_keys pour un accès distant.

Il peut aussi télécharger et exécuter d’autres binaires après exploitation réussie.

NoaBot est compilé avec uClibc, ce qui modifie la façon dont il est détecté par les antivirus, souvent identifié comme un scanner SSH ou un cheval de Troie générique.

Le botnet déploie une version modifiée du mineur de cryptomonnaie XMRig, avec des tactiques d’obfuscation rendant l’analyse difficile.

Il ne contient pas d’informations sur la pool de minage ou l’adresse du portefeuille, rendant difficile l’évaluation de la rentabilité du minage illicite.

Le mineur cache sa configuration et utilise une pool de minage personnalisée.

Akamai a identifié 849 adresses IP victimes, réparties dans le monde entier, avec une concentration élevée en Chine.

Pour se protéger, il est recommandé de restreindre l’accès SSH arbitraire sur Internet et d’utiliser des mots de passe forts, car le malware utilise une liste basique de mots de passe devinables.

L’article https://lnkd.in/epEmujXC