I ricercatori di Akamai hanno scoperto ed esplorato le campagne in evoluzione del NoaBot basato su Mirai, che includono aggiunte al codice sorgente originale, tecniche di offuscamento aggiuntive e cryptomining XMRig.
La botnet Mirai originale è una botnet wormable che prende di mira i dispositivi IoT basati su Linux e viene utilizzata per gli attacchi DDoS e per il cryptomining.
Il malware si diffonde tramite il protocollo SSH utilizzando una botnet Mirai personalizzata che è stata modificata dagli attori della minaccia. Le capacità della nuova botnet includono un wormable self-spreader e una backdoor con chiave SSH per scaricare ed eseguire binari aggiuntivi o diffondersi a nuove vittime. Una versione modificata del miner XMRig viene lanciata come parte dell’attacco. Il miner offusca la sua configurazione e utilizza anche un pool di mining personalizzato per evitare di esporre l’indirizzo del portafoglio utilizzato dal miner.
La botnet Mirai originale è stata identificata nel 2016, ma il suo codice sorgente è stato reso pubblico e oggi sono visibili molte varianti. La nuova campagna di cryptomining scoperta dai ricercatori di Akamai è attiva dall’inizio del 2023. Akamai ha trovato prove che collegano la botnet al worm P2PInfect, scoperta da Unit 42 nel luglio 2023.
Nel seguente blog, Akamai fornisce informazioni importanti sul NoaBot e su come proteggersi da esso, inoltre continuerà a monitorare queste e altre minacce e fornirà ulteriori informazioni non appena saranno disponibili. Aggiornamenti in tempo reale su ulteriori ricerche sono disponibili sul canale X di Akamai.
Per maggiori dettagli è possibile consultare il blogpost al seguente link.
