بدافزار پیچیده 'NKAbuse' از بلاک چین برای مخفی کردن در لینوکس و ماشین های اینترنت اشیا استفاده می کند

بدافزار پیچیده NKAbuse از بلاک چین برای مخفی کردن در لینوکس و ماشین های اینترنت اشیا استفاده می کند

تمبر زمان: 15 دسامبر 2023، 1:20 بعد از ظهر
Complex 'NKAbuse' Malware Uses Blockchain to Hide on Linux, IoT Machines PlatoBlockchain Data Intelligence. Vertical Search. Ai.

یک بدافزار پیچیده و همه کاره به نام NKAbuse کشف شده است که هم به عنوان flooder و هم به عنوان یک درب پشتی کار می کند و دسکتاپ های لینوکس را در کلمبیا، مکزیک و ویتنام هدف قرار می دهد.

طبق گزارشی که این هفته از کسپرسکی منتشر شد، این تهدید چند پلتفرمی که در Go نوشته شده است، از پروتکل شبکه همتا به همتا مبتنی بر بلاک چین NKN سوء استفاده می کند. NKAbuse می تواند سیستم های لینوکس و همچنین معماری های مشتق شده از لینوکس مانند MISP و ARM را آلوده کند - که دستگاه های اینترنت اشیا (IoT) را نیز در معرض خطر قرار می دهد.

غیر متمرکز شبکه NKN میزبان بیش از 60,000 گره رسمی است و از الگوریتم‌های مسیریابی مختلف برای ساده‌سازی انتقال داده‌ها با شناسایی کارآمدترین مسیر گره به سمت مقصد محموله معین استفاده می‌کند.

یک رویکرد بدافزار چند ابزاری منحصر به فرد

لیساندرو اوبیدو، محقق امنیتی کسپرسکی، توضیح می‌دهد که آنچه این بدافزار را منحصربه‌فرد می‌کند، استفاده از فناوری NKN برای دریافت و ارسال داده‌ها از و به همتایان خود، و استفاده از Go برای تولید معماری‌های مختلف است که می‌تواند انواع مختلف سیستم‌ها را آلوده کند. .

این درب پشتی برای اعطای دسترسی غیرمجاز عمل می کند و اکثر دستورات آن بر پایداری، اجرای فرمان و جمع آوری اطلاعات متمرکز هستند. به عنوان مثال، این بدافزار می‌تواند با شناسایی محدوده‌های نمایش، اسکرین‌شات‌ها را بگیرد، آنها را به PNG تبدیل کند و به ربات اصلی ارسال کند. تجزیه و تحلیل بدافزار Kaspersky از NKAbuse.

به طور همزمان، به عنوان یک سیل عمل می کند و حملات انکار سرویس توزیع شده (DDoS) مخربی را راه اندازی می کند که می تواند سرورها و شبکه های هدف را مختل کند و خطر تأثیر قابل توجهی بر عملیات سازمانی را به همراه دارد.

Ubiedo می‌گوید: «این یک ایمپلنت قدرتمند لینوکس با قابلیت‌های flooder و backdoor است که می‌تواند به طور همزمان با استفاده از چندین پروتکل مانند HTTP، DNS یا TCP به هدف حمله کند، و همچنین می‌تواند به مهاجم اجازه کنترل سیستم و استخراج اطلاعات از آن را بدهد». . "همه در یک ایمپلنت."

این ایمپلنت همچنین شامل یک ساختار "Heartbeat" برای ارتباط منظم با استاد ربات، ذخیره داده ها در میزبان آلوده مانند PID، آدرس IP، حافظه و پیکربندی است.

او می افزاید که قبل از اینکه این بدافزار در حیات وحش منتشر شود، یک اثبات مفهومی (PoC) به نام NGLite وجود داشت که امکان استفاده از NKN را به عنوان یک ابزار مدیریت از راه دور بررسی می کرد، اما نه آنقدر توسعه یافته بود و نه به طور کامل مسلح بود. به عنوان NKAbuse.

بلاک چین برای پنهان کردن کدهای مخرب استفاده می شود

قبلاً از شبکه های همتا به همتا استفاده می شد توزیع بدافزاراز جمله یک "کرم ابری" که توسط واحد 42 شبکه پالو آلتو در ژوئیه 2023 کشف شد، تصور می شود که اولین مرحله از یک گسترده تر باشد. عملیات رمزنگاری.

و در ماه اکتبر، کمپین ClearFake با استفاده از آن کشف شد فناوری بلاک چین اختصاصی برای پنهان کردن کدهای مضر، توزیع بدافزارهایی مانند RedLine، Amadey و Lumma از طریق کمپین های فریبنده به روز رسانی مرورگر.

این کمپین که از تکنیکی به نام «EtherHiding» استفاده می‌کند، نشان می‌دهد که چگونه مهاجمان از بلاک چین فراتر از سرقت ارزهای رمزنگاری شده بهره‌برداری می‌کنند و استفاده از آن در پنهان کردن فعالیت‌های مخرب مختلف را برجسته می‌کند.

گزارش کسپرسکی خاطرنشان کرد: «استفاده از فناوری بلاک چین هم قابلیت اطمینان و هم ناشناس بودن را تضمین می‌کند، که نشان‌دهنده پتانسیل این بات‌نت برای گسترش پیوسته در طول زمان است و ظاهراً فاقد کنترل‌کننده مرکزی قابل شناسایی است».

به روز رسانی آنتی ویروس و استقرار EDR

قابل ذکر است، این بدافزار هیچ مکانیزم خود انتشاری ندارد - در عوض، به فردی متکی است که از یک آسیب‌پذیری برای گسترش عفونت اولیه استفاده می‌کند. به عنوان مثال، در حملاتی که کسپرسکی مشاهده کرد، زنجیره حمله با بهره برداری از یک آسیب پذیری قدیمی در Apache Struts 2 (CVE-2017-5638، که اتفاقاً همان باگی است که برای شروع به کار استفاده می شود، آغاز شد. نقض گسترده داده های Equifax در سال 2017).

بنابراین، برای جلوگیری از حملات هدفمند توسط عوامل تهدید شناخته شده یا ناشناخته با استفاده از NKAbuse، کسپرسکی به سازمان ها توصیه می کند که سیستم عامل ها، برنامه های کاربردی و نرم افزارهای آنتی ویروس را برای رفع آسیب پذیری های شناخته شده به روز نگه دارند.

پس از یک اکسپلویت موفقیت آمیز، بدافزار با اجرای یک اسکریپت پوسته راه دور (setup.sh) که توسط مهاجمان میزبانی شده است، به دستگاه های قربانی نفوذ می کند، که یک بدافزار مرحله دوم کاشت متناسب با معماری سیستم عامل هدف را که در فهرست /tmp ذخیره شده است دانلود و اجرا می کند. اجرا.

در نتیجه، این شرکت امنیتی همچنین استقرار راه‌حل‌های تشخیص و پاسخ نقطه پایانی (EDR) را برای شناسایی، بررسی و اصلاح سریع حادثه پس از سازش فعالیت سایبری توصیه می‌کند.

تمبر زمان:

بیشتر از تاریک خواندن