Il malware complesso "NKAbuse" utilizza la blockchain per nascondersi su macchine Linux e IoT

È stato scoperto un malware sofisticato e versatile chiamato NKAbuse che opera sia come Flooder che come Backdoor, prendendo di mira i desktop Linux in Colombia, Messico e Vietnam.

Secondo un rapporto di questa settimana di Kaspersky, questa minaccia multipiattaforma, scritta in Go, sfrutta il protocollo di rete peer-to-peer orientato alla blockchain NKN. NKAbuse può infettare i sistemi Linux, così come le architetture derivate da Linux come MISP e ARM, mettendo a rischio anche i dispositivi Internet of Things (IoT).

Il decentralizzato Rete NKN ospita più di 60,000 nodi ufficiali e impiega vari algoritmi di routing per semplificare la trasmissione dei dati identificando il percorso del nodo più efficiente verso la destinazione di un determinato carico utile.

Un approccio unico al malware multitool

Lisandro Ubiedo, ricercatore di sicurezza presso Kaspersky, spiega che ciò che rende unico questo malware è l'uso della tecnologia NKN per ricevere e inviare dati da e verso i suoi peer, e l'uso di Go per generare diverse architetture, che potrebbero infettare diversi tipi di sistemi .

Funziona come una backdoor per garantire l'accesso non autorizzato, con la maggior parte dei suoi comandi incentrati sulla persistenza, sull'esecuzione dei comandi e sulla raccolta di informazioni. Il malware può, ad esempio, catturare screenshot identificando i limiti di visualizzazione, convertirli in PNG e trasmetterli al master del bot, secondo Analisi del malware di Kaspersky su NKAbuse.

Allo stesso tempo, agisce come un diluvio, lanciando attacchi DDoS (Distributed Denial of Service) distruttivi che possono interrompere server e reti presi di mira, con il rischio di avere un impatto significativo sulle operazioni organizzative.

"Si tratta di un potente impianto Linux con funzionalità flooder e backdoor che può attaccare un obiettivo simultaneamente utilizzando più protocolli come HTTP, DNS o TCP, ad esempio, e può anche consentire a un utente malintenzionato di controllare il sistema ed estrarne informazioni", afferma Ubiedo. . “Tutto nello stesso impianto.”

L'impianto include anche una struttura "Heartbeat" per la comunicazione regolare con il bot master, memorizzando dati sull'host infetto come PID, indirizzo IP, memoria e configurazione.

Aggiunge che prima che questo malware diventasse diffuso, esisteva un proof-of-concept (PoC) chiamato NGLite che esplorava la possibilità di utilizzare NKN come strumento di amministrazione remota, ma non era sviluppato in modo così estensivo né così completo. come NKAbuse.

Blockchain utilizzata per mascherare codice dannoso

In precedenza si usavano le reti peer-to-peer distribuire malware, compreso un "cloud worm" scoperto dall'Unità 42 di Palo Alto Network nel luglio 2023, ritenuto essere la prima fase di un più ampio operazione di criptovaluta.

E in ottobre è stata scoperta l'utilizzo della campagna ClearFake tecnologia blockchain proprietaria per nascondere codice dannoso, distribuendo malware come RedLine, Amadey e Lumma attraverso ingannevoli campagne di aggiornamento del browser.

Quella campagna, che utilizza una tecnica chiamata "EtherHiding", ha mostrato come gli aggressori stanno sfruttando la blockchain oltre il furto di criptovaluta, evidenziandone l'uso per nascondere diverse attività dannose.

"L'uso della tecnologia blockchain garantisce sia affidabilità che anonimato, il che indica il potenziale di questa botnet in costante espansione nel tempo, apparentemente priva di un controller centrale identificabile", osserva il rapporto di Kaspersky.

Aggiornamento dell'antivirus e distribuzione di EDR

In particolare, il malware non dispone di un meccanismo di auto-propagazione, ma si basa invece su qualcuno che sfrutta una vulnerabilità per diffondere l’infezione iniziale. Negli attacchi osservati da Kaspersky, ad esempio, la catena di attacchi è iniziata con lo sfruttamento di una vecchia vulnerabilità in Apache Struts 2 (CVE-2017-5638, che tra l'altro è lo stesso bug utilizzato per avviare il massiccia violazione dei dati Equifax del 2017).

Pertanto, per prevenire attacchi mirati da parte di autori di minacce noti o sconosciuti che utilizzano NKAbuse, Kaspersky consiglia alle organizzazioni di mantenere aggiornati i sistemi operativi, le applicazioni e il software antivirus per affrontare le vulnerabilità note.

Dopo un exploit riuscito, il malware si infiltra nei dispositivi della vittima eseguendo uno script shell remoto (setup.sh) ospitato dagli aggressori, che scarica ed esegue un impianto malware di seconda fase su misura per l'architettura del sistema operativo di destinazione, archiviato nella directory /tmp per esecuzione.

Di conseguenza, l’azienda di sicurezza consiglia anche l’implementazione di soluzioni EDR (Endpoint Detection and Response) per il rilevamento, l’indagine e la tempestiva risoluzione degli incidenti post-compromissione.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/cloud-security/nkabuse-malware-blockchain-hide-linux-iot