En sofistikeret og alsidig malware kaldet NKAbuse er blevet opdaget, der fungerer som både en oversvømmelse og en bagdør, målrettet Linux-desktops i Colombia, Mexico og Vietnam.
Ifølge en rapport i denne uge fra Kaspersky udnytter denne trussel på tværs af platforme, skrevet i Go, den NKN blockchain-orienterede peer-to-peer-netværksprotokol. NKAbuse kan inficere Linux-systemer såvel som Linux-afledte arkitekturer som MISP og ARM - hvilket også sætter Internet of Things (IoT)-enheder i fare.
Det decentrale NKN netværk er vært for mere end 60,000 officielle noder og anvender forskellige routingalgoritmer til at strømline datatransmission ved at identificere den mest effektive nodevej mod en given nyttelasts destination.
En unik multiværktøjs-malware-tilgang
Lisandro Ubiedo, sikkerhedsforsker hos Kaspersky, forklarer, at det, der gør denne malware unik, er brugen af NKN-teknologien til at modtage og sende data fra og til sine jævnaldrende, og dens brug af Go til at generere forskellige arkitekturer, som kan inficere forskellige typer systemer .
Den fungerer som en bagdør til at give uautoriseret adgang, med de fleste af dens kommandoer centreret om vedholdenhed, kommandoudførelse og informationsindsamling. Malwaren kan f.eks. fange skærmbilleder ved at identificere visningsgrænser, konvertere dem til PNG og overføre dem til bot-masteren ifølge Kasperskys malware-analyse af NKAbuse.
Samtidig fungerer det som en oversvømmelse, der lancerer destruktive DDoS-angreb (Distributed Denial of Service), der kan forstyrre målrettede servere og netværk, hvilket medfører risiko for væsentligt at påvirke organisationens drift.
"Det er et kraftfuldt Linux-implantat med flooder- og bagdørsfunktioner, der kan angribe et mål samtidigt ved hjælp af flere protokoller som HTTP, DNS eller TCP, for eksempel, og som også kan tillade en angriber at styre systemet og udtrække information fra det," siger Ubiedo. . "Alle i det samme implantat."
Implantatet inkluderer også en "Heartbeat"-struktur til regelmæssig kommunikation med bot-masteren, lagring af data på den inficerede vært som PID, IP-adresse, hukommelse og konfiguration.
Han tilføjer, at før denne malware gik live i naturen, var der et proof-of-concept (PoC) kaldet NGLite, der undersøgte muligheden for at bruge NKN som et fjernadministrationsværktøj, men det var ikke så omfattende udviklet eller så fuldt bevæbnet som NKAbuse.
Blockchain bruges til at maskere ondsindet kode
Peer-to-peer netværk har tidligere været vant til distribuere malware, inklusive en "skyorm", opdaget af Palo Alto Networks Unit 42 i juli 2023, menes at være den første fase af en bredere kryptomineringsoperation.
Og i oktober blev ClearFake-kampagnen opdaget ved hjælp af proprietær blockchain-teknologi at skjule skadelig kode, distribuere malware som RedLine, Amadey og Lumma gennem vildledende browseropdateringskampagner.
Denne kampagne, der bruger en teknik kaldet "EtherHiding", viste, hvordan angribere udnytter blockchain ud over tyveri af kryptovaluta, og fremhævede dens brug til at skjule forskellige ondsindede aktiviteter.
"[Brugen] af blockchain-teknologi sikrer både pålidelighed og anonymitet, hvilket indikerer potentialet for, at dette botnet kan udvides støt over tid, tilsyneladende uden en identificerbar central controller," bemærkede Kaspersky-rapporten.
Opdatering af antivirus og implementering af EDR
Navnlig har malwaren ingen selvudbredelsesmekanisme - i stedet er den afhængig af, at nogen udnytter en sårbarhed til at implementere den første infektion. I de angreb, som Kaspersky observerede, begyndte angrebskæden for eksempel med udnyttelsen af en gammel sårbarhed i Apache Struts 2 (CVE-2017-5638, som i øvrigt er den samme fejl, som blev brugt til at starte massivt Equifax-databrud i 2017).
For at forhindre målrettede angreb fra kendte eller ukendte trusselsaktører, der bruger NKAbuse, råder Kaspersky således organisationer til at holde operativsystemer, applikationer og antivirussoftware opdateret for at løse kendte sårbarheder.
Efter en vellykket udnyttelse infiltrerer malwaren derefter ofrets enheder ved at køre et eksternt shell-script (setup.sh) hostet af angribere, som downloader og udfører et andet-trins malware-implantat, der er skræddersyet til mål-OS-arkitekturen, gemt i /tmp-mappen for udførelse.
Som et resultat heraf anbefaler sikkerhedsfirmaet også implementering af endpoint detection and response (EDR)-løsninger til post-kompromittering af cyberaktivitetsdetektion, undersøgelse og hurtig afhjælpning af hændelser.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/cloud-security/nkabuse-malware-blockchain-hide-linux-iot
- :har
- :er
- 000
- 2023
- 60
- 7
- a
- adgang
- Ifølge
- aktiviteter
- aktører
- handlinger
- adresse
- Tilføjer
- administration
- algoritmer
- Alle
- tillade
- også
- an
- analyse
- ,
- Anonymitet
- antivirus
- Apache
- applikationer
- arkitektur
- ER
- ARM
- væbnet
- AS
- At
- angribe
- Angreb
- bagdør
- BE
- været
- før
- begyndte
- Beyond
- blockchain
- Blockchain teknologi
- Bot
- både
- botnet
- bounds
- brud
- browser
- Bug
- men
- by
- kaldet
- Kampagne
- Kampagner
- CAN
- kapaciteter
- fange
- regnskabsmæssige
- centrering
- central
- kæde
- Cloud
- kode
- Colombia
- Kommunikation
- komplekse
- skjule
- Konfiguration
- kontrol
- controller
- konvertere
- kunne
- cryptocurrency
- data
- bruddet
- DDoS
- decentral
- Denial of Service
- indsætte
- implementering
- implementering
- destination
- Detektion
- udviklet
- Enheder
- forskellige
- opdaget
- Skærm
- Afbryde
- distribueret
- distribution
- forskelligartede
- dns
- downloads
- effektiv
- beskæftiger
- Endpoint
- sikrer
- Equifax
- eksempel
- Udfører
- udførelse
- Udvid
- Forklarer
- Exploit
- udnyttelse
- udnytte
- exploits
- udforsket
- ekstensivt
- ekstrakt
- Firm
- Fornavn
- Til
- fra
- fuldt ud
- funktioner
- indsamling
- generere
- given
- Go
- indrømme
- skadelig
- Have
- Skjule
- fremhæve
- host
- hostede
- værter
- Hvordan
- http
- HTTPS
- identificere
- påvirker
- in
- hændelse
- omfatter
- Herunder
- angiver
- oplysninger
- initial
- instans
- i stedet
- Internet
- tingenes internet
- undersøgelse
- tingenes internet
- IP
- IP-adresse
- IT
- ITS
- jpg
- juli
- Kaspersky
- Holde
- sparke
- kendt
- lancering
- ligesom
- linux
- leve
- Maskiner
- maerker
- malware
- maske
- Master
- mekanisme
- Hukommelse
- Mexico
- mere
- mest
- flere
- netværk
- netværk
- net
- ingen
- node
- noder
- bemærkede
- oktober
- of
- off
- officiel
- Gammel
- on
- drift
- operativsystemer
- Produktion
- or
- organisatorisk
- organisationer
- OS
- i løbet af
- Palo Alto
- pathway
- peer to peer
- peers
- udholdenhed
- Steder
- plato
- Platon Data Intelligence
- PlatoData
- PoC
- Muligheden
- potentiale
- vigtigste
- forhindre
- tidligere
- protokol
- protokoller
- modtage
- anbefaler
- fast
- pålidelighed
- fjern
- indberette
- forsker
- svar
- resultere
- Risiko
- routing
- kører
- s
- samme
- siger
- screenshots
- script
- sikkerhed
- tilsyneladende
- send
- Servere
- tjeneste
- setup
- Shell
- fremvist
- betydeligt
- samtidigt
- Software
- Løsninger
- Nogen
- sofistikeret
- Stage
- støt
- opbevaret
- lagring
- strømline
- struktur
- vellykket
- systemet
- Systemer
- skræddersyet
- mål
- målrettet
- rettet mod
- teknik
- Teknologier
- end
- at
- tyveri
- Them
- derefter
- Der.
- ting
- denne
- denne uge
- tænkte
- trussel
- trusselsaktører
- Gennem
- tid
- til
- værktøj
- mod
- transmittere
- typer
- uberettiget
- enestående
- enhed
- ukendt
- Opdatering
- opdateret
- brug
- anvendte
- bruger
- ved brug af
- Ved hjælp af
- forskellige
- alsidige
- Victim
- Vietnam
- Sårbarheder
- sårbarhed
- var
- var ikke
- uge
- GODT
- gik
- Hvad
- som
- bredere
- Wild
- med
- orm
- skriftlig
- zephyrnet
