Le logiciel malveillant complexe 'NKAbuse' utilise la blockchain pour se cacher sur les machines Linux et IoT

Un malware sophistiqué et polyvalent appelé NKAbuse a été découvert, fonctionnant à la fois comme un inondateur et une porte dérobée, ciblant les ordinateurs de bureau Linux en Colombie, au Mexique et au Vietnam.

Selon un rapport publié cette semaine par Kaspersky, cette menace multiplateforme, écrite en Go, exploite le protocole réseau peer-to-peer orienté blockchain NKN. NKAbuse peut infecter les systèmes Linux, ainsi que les architectures dérivées de Linux comme MISP et ARM, ce qui met également en danger les appareils Internet des objets (IoT).

Le décentralisé Réseau NKN héberge plus de 60,000 XNUMX nœuds officiels et utilise divers algorithmes de routage pour rationaliser la transmission des données en identifiant le chemin de nœud le plus efficace vers la destination d'une charge utile donnée.

Une approche unique contre les logiciels malveillants multi-outils

Lisandro Ubiedo, chercheur en sécurité chez Kaspersky, explique que ce qui rend ce malware unique est l'utilisation de la technologie NKN pour recevoir et envoyer des données depuis et vers ses pairs, et son utilisation de Go pour générer différentes architectures, qui pourraient infecter différents types de systèmes. .

Il fonctionne comme une porte dérobée pour accorder un accès non autorisé, la plupart de ses commandes étant centrées sur la persistance, l'exécution des commandes et la collecte d'informations. Le malware peut, par exemple, capturer des captures d'écran en identifiant les limites d'affichage, les convertir en PNG et les transmettre au maître du robot, selon Analyse des logiciels malveillants de Kaspersky sur NKAbuse.

Simultanément, il agit comme un inondateur, lançant des attaques destructrices par déni de service distribué (DDoS) qui peuvent perturber les serveurs et les réseaux ciblés, avec le risque d'avoir un impact significatif sur les opérations de l'organisation.

"Il s'agit d'un puissant implant Linux doté de capacités d'inondation et de porte dérobée qui peut attaquer une cible simultanément en utilisant plusieurs protocoles comme HTTP, DNS ou TCP, par exemple, et peut également permettre à un attaquant de contrôler le système et d'en extraire des informations", explique Ubiedo. . "Tout cela dans le même implant."

L'implant comprend également une structure « Heartbeat » pour une communication régulière avec le maître du robot, stockant des données sur l'hôte infecté telles que le PID, l'adresse IP, la mémoire et la configuration.

Il ajoute qu'avant que ce malware ne soit diffusé dans la nature, il existait une preuve de concept (PoC) appelée NGLite qui explorait la possibilité d'utiliser NKN comme outil d'administration à distance, mais elle n'était pas aussi développée ni aussi complètement armée. comme NKAbuse.

La blockchain utilisée pour masquer les codes malveillants

Les réseaux peer-to-peer ont déjà été utilisés pour distribuer des logiciels malveillants, y compris un « ver cloud » découvert par l'unité 42 du réseau Palo Alto en juillet 2023, considéré comme la première étape d'un projet plus large. opération de cryptominage.

Et en octobre, la campagne ClearFake a été découverte en utilisant technologie blockchain propriétaire pour dissimuler les codes nuisibles, en distribuant des logiciels malveillants comme RedLine, Amadey et Lumma via des campagnes trompeuses de mise à jour du navigateur.

Cette campagne, qui utilise une technique appelée « EtherHiding », a montré comment les attaquants exploitent la blockchain au-delà du vol de cryptomonnaie, soulignant son utilisation pour dissimuler diverses activités malveillantes.

"[The] l'utilisation de la technologie blockchain garantit à la fois la fiabilité et l'anonymat, ce qui indique le potentiel de ce botnet de se développer régulièrement au fil du temps, apparemment dépourvu de contrôleur central identifiable", note le rapport Kaspersky.

Mise à jour de l'antivirus et déploiement d'EDR

Notamment, le malware ne dispose d’aucun mécanisme d’auto-propagation ; il s’appuie plutôt sur une personne exploitant une vulnérabilité pour déployer l’infection initiale. Dans les attaques observées par Kaspersky, par exemple, la chaîne d'attaque a commencé par l'exploitation d'une ancienne vulnérabilité dans Apache Struts 2 (CVE-2017-5638, qui est d'ailleurs le même bug utilisé pour lancer le violation massive des données d'Equifax en 2017).

Ainsi, pour empêcher les attaques ciblées d'acteurs malveillants connus ou inconnus utilisant NKAbuse, Kaspersky conseille aux organisations de maintenir à jour les systèmes d'exploitation, les applications et les logiciels antivirus pour remédier aux vulnérabilités connues.

Après un exploit réussi, le malware infiltre ensuite les appareils des victimes en exécutant un script shell distant (setup.sh) hébergé par les attaquants, qui télécharge et exécute un implant malveillant de deuxième étape adapté à l'architecture du système d'exploitation cible, stocké dans le répertoire /tmp pour exécution.

En conséquence, la société de sécurité recommande également le déploiement de solutions de détection et de réponse des points finaux (EDR) pour la détection, l'enquête et la résolution rapide des cyberactivités après une compromission.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/cloud-security/nkabuse-malware-blockchain-hide-linux-iot