कॉम्प्लेक्स 'एनकेएब्यूज़' मैलवेयर लिनक्स, आईओटी मशीनों पर छिपने के लिए ब्लॉकचेन का उपयोग करता है

कॉम्प्लेक्स 'एनकेएब्यूज' मैलवेयर लिनक्स, आईओटी मशीनों पर छिपने के लिए ब्लॉकचेन का उपयोग करता है

समय टिकट: 15 दिसंबर, 2023 1:20 अपराह्न
कॉम्प्लेक्स 'एनकेएब्यूज़' मैलवेयर लिनक्स, आईओटी मशीनों प्लेटोब्लॉकचेन डेटा इंटेलिजेंस पर छिपाने के लिए ब्लॉकचेन का उपयोग करता है। लंबवत खोज. ऐ.

एनकेएब्यूज़ नामक एक परिष्कृत और बहुमुखी मैलवेयर को कोलंबिया, मैक्सिको और वियतनाम में लिनक्स डेस्कटॉप को लक्षित करते हुए फ्लडर और बैकडोर दोनों के रूप में काम करते हुए पाया गया है।

इस सप्ताह कास्परस्की की एक रिपोर्ट के अनुसार, गो में लिखा गया यह क्रॉस-प्लेटफॉर्म खतरा, एनकेएन ब्लॉकचेन-उन्मुख पीयर-टू-पीयर नेटवर्किंग प्रोटोकॉल का शोषण करता है। एनकेएब्यूज़ लिनक्स सिस्टम के साथ-साथ एमआईएसपी और एआरएम जैसे लिनक्स-व्युत्पन्न आर्किटेक्चर को भी संक्रमित कर सकता है - जो इंटरनेट ऑफ थिंग्स (आईओटी) उपकरणों को भी खतरे में डालता है।

विकेन्द्रीकृत एनकेएन नेटवर्क 60,000 से अधिक आधिकारिक नोड्स को होस्ट करता है, और किसी दिए गए पेलोड के गंतव्य की ओर सबसे कुशल नोड मार्ग की पहचान करके डेटा ट्रांसमिशन को सुव्यवस्थित करने के लिए विभिन्न रूटिंग एल्गोरिदम को नियोजित करता है।

एक अनोखा मल्टीटूल मैलवेयर दृष्टिकोण

कैस्परस्की के सुरक्षा शोधकर्ता लिसेंड्रो उबिडो बताते हैं कि जो चीज इस मैलवेयर को अद्वितीय बनाती है, वह अपने साथियों से डेटा प्राप्त करने और भेजने के लिए एनकेएन तकनीक का उपयोग है, और विभिन्न आर्किटेक्चर उत्पन्न करने के लिए गो का उपयोग है, जो विभिन्न प्रकार के सिस्टम को संक्रमित कर सकता है। .

यह अनधिकृत पहुंच प्रदान करने के लिए पिछले दरवाजे के रूप में कार्य करता है, इसके अधिकांश आदेश दृढ़ता, आदेश निष्पादन और सूचना एकत्र करने पर केंद्रित होते हैं। उदाहरण के लिए, मैलवेयर डिस्प्ले सीमाओं की पहचान करके स्क्रीनशॉट कैप्चर कर सकता है, उन्हें पीएनजी में परिवर्तित कर सकता है और उन्हें बॉट मास्टर तक पहुंचा सकता है। कैस्परस्की का एनकेएब्यूज़ का मैलवेयर विश्लेषण.

इसके साथ ही, यह बाढ़ लाने वाले के रूप में कार्य करता है, विनाशकारी वितरित डिनायल ऑफ सर्विस (डीडीओएस) हमले शुरू करता है जो लक्षित सर्वर और नेटवर्क को बाधित कर सकता है, जिससे संगठनात्मक संचालन पर महत्वपूर्ण प्रभाव पड़ने का जोखिम होता है।

"यह फ्लडर और बैकडोर क्षमताओं वाला एक शक्तिशाली लिनक्स इम्प्लांट है जो उदाहरण के लिए, HTTP, DNS, या TCP जैसे कई प्रोटोकॉल का उपयोग करके एक लक्ष्य पर हमला कर सकता है, और एक हमलावर को सिस्टम को नियंत्रित करने और उससे जानकारी निकालने की अनुमति भी दे सकता है," यूबीडो कहते हैं। . "सभी एक ही इम्प्लांट में।"

इम्प्लांट में बॉट मास्टर के साथ नियमित संचार के लिए एक "हार्टबीट" संरचना भी शामिल है, जो पीआईडी, आईपी एड्रेस, मेमोरी और कॉन्फ़िगरेशन जैसे संक्रमित होस्ट पर डेटा संग्रहीत करता है।

उन्होंने आगे कहा कि इस मैलवेयर के जंगल में लाइव होने से पहले, एनजीलाइट नामक एक प्रूफ-ऑफ-कॉन्सेप्ट (पीओसी) था जिसने एनकेएन को रिमोट एडमिनिस्ट्रेशन टूल के रूप में उपयोग करने की संभावना का पता लगाया था, लेकिन यह इतने बड़े पैमाने पर विकसित नहीं था और न ही पूरी तरह से सशस्त्र था। एनकेएब्यूज़ के रूप में।

दुर्भावनापूर्ण कोड को छुपाने के लिए ब्लॉकचेन का उपयोग किया जाता है

पीयर-टू-पीयर नेटवर्क का उपयोग पहले भी किया जा चुका है मैलवेयर वितरित करेंजुलाई 42 में पालो अल्टो नेटवर्क की यूनिट 2023 द्वारा खोजे गए "क्लाउड वर्म" सहित, इसे व्यापक का पहला चरण माना जाता है क्रिप्टोमाइनिंग ऑपरेशन.

और अक्टूबर में, ClearFake अभियान का उपयोग करते हुए पाया गया मालिकाना ब्लॉकचेन तकनीक हानिकारक कोड को छुपाने के लिए, भ्रामक ब्राउज़र अपडेट अभियानों के माध्यम से रेडलाइन, अमाडे और लुम्मा जैसे मैलवेयर वितरित करना।

वह अभियान, जो "ईथरहिडिंग" नामक तकनीक का उपयोग करता है, दिखाता है कि कैसे हमलावर क्रिप्टोकरेंसी चोरी से परे ब्लॉकचेन का शोषण कर रहे हैं, विभिन्न दुर्भावनापूर्ण गतिविधियों को छिपाने में इसके उपयोग पर प्रकाश डालते हैं।

"[ब्लॉकचेन तकनीक का उपयोग विश्वसनीयता और गुमनामी दोनों सुनिश्चित करता है, जो इस बॉटनेट के समय के साथ लगातार विस्तार करने की क्षमता को इंगित करता है, एक पहचानने योग्य केंद्रीय नियंत्रक से रहित प्रतीत होता है," कैस्परस्की रिपोर्ट में कहा गया है।

एंटीवायरस को अद्यतन करना और ईडीआर तैनात करना

विशेष रूप से, मैलवेयर में कोई स्व-प्रसार तंत्र नहीं है - इसके बजाय, यह प्रारंभिक संक्रमण को तैनात करने के लिए भेद्यता का फायदा उठाने वाले किसी व्यक्ति पर निर्भर करता है। उदाहरण के लिए, कैस्परस्की द्वारा देखे गए हमलों में, हमले की श्रृंखला अपाचे स्ट्रट्स 2 (सीवीई-2017-5638) में एक पुरानी भेद्यता के शोषण के साथ शुरू हुई, जो संयोग से वही बग है जिसका उपयोग इसे शुरू करने के लिए किया गया था। 2017 का बड़े पैमाने पर इक्विफैक्स डेटा उल्लंघन).

इस प्रकार, NKAbuse का उपयोग करके ज्ञात या अज्ञात खतरे वाले अभिनेताओं द्वारा लक्षित हमलों को रोकने के लिए, कैस्परस्की संगठनों को सलाह देता है कि ज्ञात कमजोरियों को दूर करने के लिए ऑपरेटिंग सिस्टम, एप्लिकेशन और एंटीवायरस सॉफ़्टवेयर को अपडेट रखें।

एक सफल शोषण के बाद, मैलवेयर हमलावरों द्वारा होस्ट की गई एक रिमोट शेल स्क्रिप्ट (setup.sh) चलाकर पीड़ित उपकरणों में घुसपैठ करता है, जो /tmp निर्देशिका में संग्रहीत लक्ष्य OS आर्किटेक्चर के अनुरूप दूसरे चरण के मैलवेयर इम्प्लांट को डाउनलोड और निष्पादित करता है। कार्यान्वयन।

नतीजतन, सुरक्षा फर्म समझौते के बाद साइबर-गतिविधि का पता लगाने, जांच और त्वरित घटना निवारण के लिए एंडपॉइंट डिटेक्शन और रिस्पॉन्स (ईडीआर) समाधानों की तैनाती की भी सिफारिश करती है।

समय टिकट:

से अधिक डार्क रीडिंग