Malware 'NKabuse' yang Kompleks Menggunakan Blockchain untuk Bersembunyi di Linux, Mesin IoT

Malware canggih dan serbaguna yang disebut NKAbuse ditemukan beroperasi sebagai pembanjir dan pintu belakang, menargetkan desktop Linux di Kolombia, Meksiko, dan Vietnam.

Menurut laporan minggu ini dari Kaspersky, ancaman lintas platform ini, yang ditulis dalam Go, mengeksploitasi protokol jaringan peer-to-peer yang berorientasi pada blockchain NKN. NKAbuse dapat menginfeksi sistem Linux, serta arsitektur turunan Linux seperti MISP dan ARM — yang juga membahayakan perangkat Internet of Things (IoT).

yang terdesentralisasi jaringan NKN menampung lebih dari 60,000 node resmi, dan menggunakan berbagai algoritme perutean untuk menyederhanakan transmisi data dengan mengidentifikasi jalur node paling efisien menuju tujuan muatan tertentu.

Pendekatan Malware Multitool yang Unik

Lisandro Ubiedo, peneliti keamanan di Kaspersky, menjelaskan bahwa yang membuat malware ini unik adalah penggunaan teknologi NKN untuk menerima dan mengirim data dari dan ke rekan-rekannya, serta penggunaan Go untuk menghasilkan arsitektur berbeda, yang dapat menginfeksi berbagai jenis sistem. .

Ini berfungsi sebagai pintu belakang untuk memberikan akses tidak sah, dengan sebagian besar perintahnya berpusat pada persistensi, eksekusi perintah, dan pengumpulan informasi. Malware tersebut dapat, misalnya, menangkap tangkapan layar dengan mengidentifikasi batas tampilan, mengubahnya menjadi PNG, dan mengirimkannya ke master bot, menurut Analisis malware Kaspersky terhadap NKAbuse.

Pada saat yang sama, ia bertindak sebagai pembanjir, meluncurkan serangan penolakan layanan terdistribusi (DDoS) yang merusak dan dapat mengganggu server dan jaringan yang ditargetkan, serta membawa risiko yang berdampak signifikan terhadap operasi organisasi.

“Ini adalah implan Linux yang kuat dengan kemampuan banjir dan pintu belakang yang dapat menyerang target secara bersamaan menggunakan beberapa protokol seperti HTTP, DNS, atau TCP, misalnya, dan juga memungkinkan penyerang mengontrol sistem dan mengekstrak informasi darinya,” kata Ubiedo. . “Semuanya dalam implan yang sama.”

Implan juga mencakup struktur “Detak Jantung” untuk komunikasi reguler dengan master bot, menyimpan data pada host yang terinfeksi seperti PID, alamat IP, memori, dan konfigurasi.

Dia menambahkan bahwa sebelum malware ini diluncurkan, terdapat bukti konsep (PoC) yang disebut NGLite yang menjajaki kemungkinan penggunaan NKN sebagai alat administrasi jarak jauh, namun belum dikembangkan secara ekstensif dan belum sepenuhnya dipersenjatai. sebagai NKAbuse.

Blockchain Digunakan untuk Menyamarkan Kode Berbahaya

Jaringan peer-to-peer sebelumnya telah digunakan mendistribusikan malware, termasuk “cloud worm” yang ditemukan oleh Unit 42 Jaringan Palo Alto pada Juli 2023, yang dianggap sebagai tahap pertama dari penyakit yang lebih luas. operasi penambangan kripto.

Dan pada bulan Oktober, kampanye ClearFake ditemukan menggunakan teknologi blockchain eksklusif untuk menyembunyikan kode berbahaya, mendistribusikan malware seperti RedLine, Amadey, dan Lumma melalui kampanye pembaruan browser yang menipu.

Kampanye tersebut, yang menggunakan teknik yang disebut “EtherHiding,” menunjukkan bagaimana penyerang mengeksploitasi blockchain di luar pencurian mata uang kripto, menyoroti penggunaannya dalam menyembunyikan beragam aktivitas jahat.

“[Penggunaan] teknologi blockchain memastikan keandalan dan anonimitas, yang menunjukkan potensi botnet ini untuk terus berkembang seiring berjalannya waktu, tampaknya tanpa pengontrol pusat yang dapat diidentifikasi,” laporan Kaspersky mencatat.

Memperbarui Antivirus dan Menerapkan EDR

Khususnya, malware ini tidak memiliki mekanisme penyebaran mandiri — melainkan bergantung pada seseorang yang mengeksploitasi kerentanan untuk menyebarkan infeksi awal. Dalam serangan yang diamati Kaspersky, misalnya, rantai serangan dimulai dengan eksploitasi kerentanan lama di Apache Struts 2 (CVE-2017-5638, yang kebetulan merupakan bug yang sama yang digunakan untuk memulai serangan. pelanggaran data Equifax besar-besaran pada tahun 2017).

Oleh karena itu, untuk mencegah serangan yang ditargetkan oleh pelaku ancaman yang dikenal atau tidak dikenal menggunakan NKAbuse, Kaspersky menyarankan organisasi untuk selalu memperbarui sistem operasi, aplikasi, dan perangkat lunak antivirus untuk mengatasi kerentanan yang diketahui.

Setelah eksploitasi berhasil, malware kemudian menyusup ke perangkat korban dengan menjalankan skrip shell jarak jauh (setup.sh) yang dihosting oleh penyerang, yang mengunduh dan mengeksekusi implan malware tahap kedua yang disesuaikan dengan arsitektur OS target, disimpan di direktori /tmp untuk eksekusi.

Oleh karena itu, perusahaan keamanan ini juga merekomendasikan penerapan solusi deteksi dan respons titik akhir (EDR) untuk deteksi, investigasi, dan remediasi insiden siber pasca-kompromi.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/cloud-security/nkabuse-malware-blockchain-hide-linux-iot