Die Malware NoaBot wurde laut Akamai von den Bedrohungsakteuren modifiziert. Das neue NoaBot-Botnet verfügt unter anderem über einen Wurm zur Selbstverbreitung und eine SSH-Schlüssel-Backdoor, um zusätzliche Binärdateien herunterzuladen und auszuführen oder sich an neue Opfer weiterzuverbreiten. Als Teil des Angriffs wird eine modifizierte Version des XMRig-Miners (Open-Source-Software für das Mining von Kryptowährungen) platziert. Der Miner verschleiert seine Konfiguration und verwendet außerdem einen benutzerdefinierten Mining-Pool. Damit verhindert er, dass die vom Miner verwendete Wallet-Adresse offengelegt wird.

Akamai entdeckte die NoaBot-Kampagne erstmals Anfang 2023. Seitdem haben die Sicherheitsforscher zwei Weiterentwicklungen der Malware verfolgt, die aus zusätzlichen Verschleierungen oder einem Wechsel der Command-and-Control- (C2) und Mining-Pool-Domänen bestehen. Zudem wurden mehrere Vorfälle beobachtet, bei denen Muster des P2PInfect-Wurms versendet wurden, was darauf hindeutet, dass die beiden Kampagnen miteinander in Verbindung stehen.

Das Akamai-Team hat auf seinem GitHub-Repository eine Liste von Kompromissindikatoren sowie YARA-Erkennungssignaturen veröffentlicht, die zur Erkennung von NoaBot-Binärdateien verwendet werden können. Die Beschränkung des SSH-Zugriffs auf vertrauenswürdige IP-Adressen und die Verwendung von schlüsselbasierter Authentifizierung sind ebenfalls sehr empfehlenswert und gehören zur Standard-SSH-Absicherung. Detaillierte Informationen finden sich im aktuellen Akamai Blog.