Złożone złośliwe oprogramowanie „NKAbuse” wykorzystuje technologię Blockchain do ukrywania się w systemach Linux i maszynach IoT

Odkryto wyrafinowane i wszechstronne złośliwe oprogramowanie o nazwie NKAbuse, działające zarówno jako atakujący, jak i backdoor, atakujące komputery stacjonarne z systemem Linux w Kolumbii, Meksyku i Wietnamie.

Według raportu firmy Kaspersky z tego tygodnia, to wieloplatformowe zagrożenie, napisane w języku Go, wykorzystuje protokół sieciowy peer-to-peer zorientowany na blockchain NKN. NKAbuse może infekować systemy Linux, a także architektury wywodzące się z Linuksa, takie jak MISP i ARM, co naraża również urządzenia Internetu rzeczy (IoT).

Zdecentralizowany sieć NKN obsługuje ponad 60,000 XNUMX oficjalnych węzłów i wykorzystuje różne algorytmy routingu w celu usprawnienia transmisji danych poprzez identyfikację najbardziej wydajnej ścieżki węzła prowadzącej do miejsca docelowego danego ładunku.

Unikalne podejście do złośliwego oprogramowania przy użyciu wielu narzędzi

Lisandro Ubiedo, badacz bezpieczeństwa w Kaspersky, wyjaśnia, że ​​tym, co czyni to szkodliwe oprogramowanie wyjątkowym, jest wykorzystanie technologii NKN do odbierania i wysyłania danych od i do swoich konkurentów, a także wykorzystanie Go do generowania różnych architektur, które mogą infekować różne typy systemów .

Działa jak backdoor zapewniający nieautoryzowany dostęp, a większość jego poleceń koncentruje się na trwałości, wykonywaniu poleceń i gromadzeniu informacji. Szkodnik może na przykład przechwytywać zrzuty ekranu, identyfikując granice wyświetlania, konwertować je do formatu PNG i przesyłać do mistrza bota, zgodnie z Analiza szkodliwego oprogramowania NKAbuse przeprowadzona przez firmę Kaspersky.

Jednocześnie działa jak zalew, uruchamiając destrukcyjne ataki typu rozproszona odmowa usługi (DDoS), które mogą zakłócać docelowe serwery i sieci, niosąc ryzyko znaczącego wpływu na operacje organizacyjne.

„To potężny implant dla systemu Linux z funkcjami typu Flooder i Backdoor, który może atakować cel jednocześnie przy użyciu wielu protokołów, na przykład HTTP, DNS lub TCP, a także umożliwia osobie atakującej kontrolowanie systemu i wydobywanie z niego informacji” – mówi Ubiedo . „Wszystko w tym samym implancie.”

Implant zawiera również strukturę „Heartbeat” do regularnej komunikacji z głównym botem, przechowującą dane na zainfekowanym hoście, takie jak PID, adres IP, pamięć i konfiguracja.

Dodaje, że zanim to szkodliwe oprogramowanie pojawiło się na wolności, istniało narzędzie weryfikacyjne (PoC) o nazwie NGLite, które badało możliwość wykorzystania NKN jako narzędzia do zdalnej administracji, ale nie było ono tak szeroko rozwinięte ani tak w pełni uzbrojone jako NKAbuse.

Blockchain używany do maskowania złośliwego kodu

Sieci peer-to-peer były już do tego przyzwyczajone rozpowszechniać złośliwe oprogramowanie, w tym „robak chmurowy” odkryty przez jednostkę 42 sieci Palo Alto w lipcu 2023 r., uważany za pierwszy etap szerszego operacja wydobywania kryptowalut.

W październiku odkryto, że wykorzystywana jest kampania ClearFake zastrzeżona technologia blockchain aby ukryć szkodliwy kod, dystrybuując złośliwe oprogramowanie, takie jak RedLine, Amadey i Lumma, poprzez zwodnicze kampanie aktualizacji przeglądarek.

Kampania ta, wykorzystująca technikę zwaną „EtherHiding”, pokazała, w jaki sposób napastnicy wykorzystują blockchain poza kradzieżą kryptowalut, podkreślając jego zastosowanie do ukrywania różnorodnych złośliwych działań.

„[Wykorzystanie] technologii blockchain zapewnia zarówno niezawodność, jak i anonimowość, co wskazuje na potencjał tego botnetu do stałego rozwoju w miarę upływu czasu, pozornie pozbawionego możliwego do zidentyfikowania centralnego kontrolera” – zauważono w raporcie firmy Kaspersky.

Aktualizacja programu antywirusowego i instalacja EDR

Warto zauważyć, że złośliwe oprogramowanie nie ma mechanizmu samorozprzestrzeniania się — zamiast tego polega na tym, że ktoś wykorzystuje lukę w zabezpieczeniach w celu wdrożenia początkowej infekcji. Na przykład w atakach zaobserwowanych przez Kaspersky łańcuch ataków rozpoczynał się od wykorzystania starej luki w zabezpieczeniach Apache Struts 2 (CVE-2017-5638, która, nawiasem mówiąc, jest tym samym błędem, który został użyty do uruchomienia masowe naruszenie danych Equifax w 2017 r).

Dlatego też, aby zapobiec atakom ukierunkowanym ze strony znanych lub nieznanych ugrupowań zagrażających wykorzystujących NKAbuse, Kaspersky zaleca organizacjom aktualizowanie systemów operacyjnych, aplikacji i oprogramowania antywirusowego w celu usunięcia znanych luk w zabezpieczeniach.

Po udanym exploitu złośliwe oprogramowanie infiltruje urządzenia ofiary, uruchamiając zdalny skrypt powłoki (setup.sh) hostowany przez atakujących, który pobiera i uruchamia implant złośliwego oprogramowania drugiego etapu dostosowany do docelowej architektury systemu operacyjnego, przechowywany w katalogu /tmp dla wykonanie.

W rezultacie firma zajmująca się bezpieczeństwem zaleca również wdrożenie rozwiązań do wykrywania i reagowania na punkty końcowe (EDR) w celu wykrywania cyberaktywności po naruszeniu, badania i szybkiego naprawiania incydentów.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/cloud-security/nkabuse-malware-blockchain-hide-linux-iot