Programul malware complex „NKAbuse” folosește blockchain pentru a se ascunde pe mașini Linux, IoT

A fost descoperit un malware sofisticat și versatil numit NKAbuse, care funcționează atât ca un flooder, cât și ca o ușă în spate, vizând desktop-urile Linux din Columbia, Mexic și Vietnam.

Potrivit unui raport din această săptămână de la Kaspersky, această amenințare multiplatformă, scrisă în Go, exploatează protocolul de rețea peer-to-peer orientat spre blockchain NKN. NKAbuse poate infecta sistemele Linux, precum și arhitecturile derivate din Linux, cum ar fi MISP și ARM, ceea ce pune în pericol și dispozitivele Internet of Things (IoT).

Descentralizat Rețeaua NKN găzduiește peste 60,000 de noduri oficiale și folosește diverși algoritmi de rutare pentru a eficientiza transmisia datelor prin identificarea celei mai eficiente căi de noduri către destinația unei anumite sarcini utile.

O abordare unică a programelor malware multifuncționale

Lisandro Ubiedo, cercetător de securitate la Kaspersky, explică că ceea ce face acest malware unic este utilizarea tehnologiei NKN pentru a primi și trimite date de la și către colegii săi, precum și utilizarea Go pentru a genera diferite arhitecturi, care ar putea infecta diferite tipuri de sisteme. .

Funcționează ca o ușă în spate pentru a acorda acces neautorizat, majoritatea comenzilor sale fiind centrate pe persistență, execuția comenzilor și colectarea de informații. Malware-ul poate, de exemplu, să capteze capturi de ecran prin identificarea limitelor de afișare, să le convertească în PNG și să le transmită către comandantul botului, în conformitate cu Analiza malware de către Kaspersky a NKAbuse.

Simultan, acționează ca un flooder, lansând atacuri distructive de tip denial of service distribuit (DDoS) care pot perturba serverele și rețelele vizate, prezentând riscul de a afecta semnificativ operațiunile organizaționale.

„Este un implant Linux puternic, cu capacități de inundare și ușă în spate, care poate ataca o țintă simultan folosind mai multe protocoale, cum ar fi HTTP, DNS sau TCP, de exemplu, și poate, de asemenea, să permită unui atacator să controleze sistemul și să extragă informații din acesta”, spune Ubiedo. . „Toate în același implant.”

Implantul include, de asemenea, o structură „Heartbeat” pentru comunicarea regulată cu comandantul botului, stocând date pe gazda infectată, cum ar fi PID, adresa IP, memorie și configurație.

El adaugă că, înainte ca acest malware să fie pus în funcțiune în sălbăticie, a existat o dovadă de concept (PoC) numită NGLite care a explorat posibilitatea de a utiliza NKN ca instrument de administrare la distanță, dar nu a fost la fel de dezvoltat și nici la fel de complet armat. ca NKAbuse.

Blockchain folosit pentru a masca codul rău intenționat

Rețelele peer-to-peer au fost obișnuite anterior distribuie programe malware, inclusiv un „vierme din nor” descoperit de Unitatea 42 a rețelei Palo Alto în iulie 2023, considerat a fi prima etapă a unui operațiune de criptominere.

Și în octombrie, campania ClearFake a fost descoperită utilizând tehnologie blockchain proprietară pentru a ascunde codul dăunător, distribuind programe malware precum RedLine, Amadey și Lumma prin campanii înșelătoare de actualizare a browserului.

Acea campanie, care folosește o tehnică numită „EtherHiding”, a arătat modul în care atacatorii exploatează blockchain-ul dincolo de furtul de criptomonede, evidențiind utilizarea acestuia pentru a ascunde diverse activități rău intenționate.

„[Utilizarea] tehnologiei blockchain asigură atât fiabilitatea, cât și anonimatul, ceea ce indică potențialul acestei rețele bot de a se extinde constant în timp, aparent lipsită de un controler central identificabil”, se arată în raportul Kaspersky.

Actualizarea antivirusului și implementarea EDR

În special, malware-ul nu are un mecanism de auto-propagare - în schimb, se bazează pe cineva care exploatează o vulnerabilitate pentru a implementa infecția inițială. În atacurile pe care le-a observat Kaspersky, de exemplu, lanțul de atac a început cu exploatarea unei vechi vulnerabilități în Apache Struts 2 (CVE-2017-5638, care este, de altfel, același bug folosit pentru a declanșa încălcarea masivă a datelor Equifax din 2017).

Astfel, pentru a preveni atacurile țintite ale unor amenințări cunoscuți sau necunoscuți care folosesc NKAbuse, Kaspersky sfătuiește organizațiile să mențină actualizate sistemele de operare, aplicațiile și software-ul antivirus pentru a aborda vulnerabilitățile cunoscute.

După o exploatare reușită, malware-ul se infiltrează apoi în dispozitivele victimei rulând un script shell de la distanță (setup.sh) găzduit de atacatori, care descarcă și execută un implant de malware din a doua etapă adaptat arhitecturii sistemului de operare țintă, stocat în directorul /tmp pentru execuţie.

Drept urmare, firma de securitate recomandă, de asemenea, implementarea soluțiilor de detectare și răspuns la punctele finale (EDR) pentru detectarea activității cibernetice post-compromis, investigarea și remedierea promptă a incidentelor.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/cloud-security/nkabuse-malware-blockchain-hide-linux-iot