มัลแวร์ที่ซับซ้อนและอเนกประสงค์ที่เรียกว่า NKAbuse ถูกค้นพบว่าทำงานทั้งในรูปแบบ Flooder และ Backdoor โดยกำหนดเป้าหมายไปที่เดสก์ท็อป Linux ในโคลอมเบีย เม็กซิโก และเวียดนาม
ตามรายงานในสัปดาห์นี้จาก Kaspersky ภัยคุกคามข้ามแพลตฟอร์มนี้ซึ่งเขียนด้วยภาษา Go ใช้ประโยชน์จากโปรโตคอลเครือข่ายเพียร์ทูเพียร์ที่เน้นบล็อกเชนของ NKN NKAbuse สามารถแพร่ระบาดไปยังระบบ Linux ได้ เช่นเดียวกับสถาปัตยกรรมที่ได้มาจาก Linux เช่น MISP และ ARM ซึ่งทำให้อุปกรณ์ Internet of Things (IoT) ตกอยู่ในความเสี่ยงเช่นกัน
การกระจายอำนาจ เครือข่ายเอ็นเคเอ็น โฮสต์โหนดอย่างเป็นทางการมากกว่า 60,000 โหนด และใช้อัลกอริธึมการกำหนดเส้นทางที่หลากหลาย เพื่อปรับปรุงการส่งข้อมูลโดยการระบุเส้นทางโหนดที่มีประสิทธิภาพสูงสุดไปยังปลายทางของเพย์โหลดที่กำหนด
แนวทางมัลแวร์ Multitool ที่ไม่เหมือนใคร
Lisandro Ubiedo นักวิจัยด้านความปลอดภัยของ Kaspersky อธิบายว่าสิ่งที่ทำให้มัลแวร์นี้มีเอกลักษณ์เฉพาะคือการใช้เทคโนโลยี NKN เพื่อรับและส่งข้อมูลจากและไปยังเพื่อนร่วมงาน และการใช้ Go เพื่อสร้างสถาปัตยกรรมที่แตกต่างกัน ซึ่งอาจแพร่ระบาดไปยังระบบประเภทต่างๆ .
มันทำหน้าที่เป็นแบ็คดอร์เพื่อให้สิทธิ์การเข้าถึงโดยไม่ได้รับอนุญาต โดยคำสั่งส่วนใหญ่มุ่งเน้นไปที่การคงอยู่ การดำเนินการตามคำสั่ง และการรวบรวมข้อมูล ตัวอย่างเช่น มัลแวร์สามารถจับภาพหน้าจอโดยระบุขอบเขตการแสดงผล แปลงเป็น PNG และส่งไปยังบอทมาสเตอร์ การวิเคราะห์มัลแวร์ NKAbuse ของ Kaspersky.
ในขณะเดียวกัน ก็ทำหน้าที่เป็นตัวกระจายการโจมตี โดยปล่อยการโจมตีแบบ Distributed Denial of Service (DDoS) แบบทำลายล้าง ซึ่งสามารถรบกวนเซิร์ฟเวอร์และเครือข่ายเป้าหมาย ซึ่งมีความเสี่ยงที่จะส่งผลกระทบอย่างมีนัยสำคัญต่อการดำเนินงานขององค์กร
“มันเป็น Linux Implant ที่ทรงพลังพร้อมความสามารถ Flooder และ Backdoor ที่สามารถโจมตีเป้าหมายพร้อมกันโดยใช้หลายโปรโตคอล เช่น HTTP, DNS หรือ TCP เป็นต้น และยังสามารถอนุญาตให้ผู้โจมตีควบคุมระบบและดึงข้อมูลจากระบบได้” Ubiedo กล่าว . “ทั้งหมดอยู่ในรากฟันเทียมเดียวกัน”
นอกจากนี้ การปลูกถ่ายยังมีโครงสร้าง “ฮาร์ทบีท” สำหรับการสื่อสารปกติกับบอทมาสเตอร์ โดยจัดเก็บข้อมูลบนโฮสต์ที่ติดไวรัส เช่น PID, ที่อยู่ IP, หน่วยความจำ และการกำหนดค่า
เขาเสริมว่าก่อนที่มัลแวร์นี้จะเผยแพร่สู่วงกว้าง มีการพิสูจน์แนวคิด (PoC) ที่เรียกว่า NGLite ซึ่งสำรวจความเป็นไปได้ในการใช้ NKN เป็นเครื่องมือการดูแลระบบระยะไกล แต่มันก็ไม่ได้พัฒนาอย่างกว้างขวางหรือมีอาวุธครบมือ เป็น NKAbuse
Blockchain ใช้เพื่อปกปิดโค้ดที่เป็นอันตราย
ก่อนหน้านี้มีการใช้เครือข่ายเพียร์ทูเพียร์ เผยแพร่มัลแวร์รวมถึง “หนอนเมฆ” ที่ค้นพบโดยหน่วย 42 ของ Palo Alto Network ในเดือนกรกฎาคม พ.ศ. 2023 ถือเป็นระยะแรกของการแพร่กระจายที่กว้างกว่า การดำเนินการเข้ารหัสลับ.
และในเดือนตุลาคม แคมเปญ ClearFake ถูกค้นพบว่ากำลังใช้งานอยู่ เทคโนโลยีบล็อกเชนที่เป็นกรรมสิทธิ์ เพื่อปกปิดโค้ดที่เป็นอันตราย กระจายมัลแวร์ เช่น RedLine, Amadey และ Lumma ผ่านแคมเปญอัปเดตเบราว์เซอร์ที่หลอกลวง
แคมเปญนั้นซึ่งใช้เทคนิคที่เรียกว่า “EtherHiding” แสดงให้เห็นว่าผู้โจมตีใช้ประโยชน์จากบล็อคเชนนอกเหนือจากการขโมยสกุลเงินดิจิตอลอย่างไร โดยเน้นการใช้งานในการปกปิดกิจกรรมที่เป็นอันตรายที่หลากหลาย
“การใช้เทคโนโลยีบล็อกเชนทำให้มั่นใจทั้งความน่าเชื่อถือและการไม่เปิดเผยตัวตน ซึ่งบ่งชี้ถึงศักยภาพของบอตเน็ตที่จะขยายตัวอย่างต่อเนื่องเมื่อเวลาผ่านไป ดูเหมือนว่าจะไม่มีตัวควบคุมส่วนกลางที่สามารถระบุตัวตนได้” รายงานของ Kaspersky ระบุ
การอัพเดต Antivirus และการปรับใช้ EDR
ที่น่าสังเกตคือมัลแวร์ไม่มีกลไกการแพร่กระจายในตัวเอง — ในทางกลับกัน มันอาศัยบุคคลที่ใช้ประโยชน์จากช่องโหว่เพื่อปรับใช้การติดไวรัสเริ่มแรก ตัวอย่างเช่น ในการโจมตีที่ Kaspersky สังเกตเห็น ห่วงโซ่การโจมตีเริ่มต้นด้วยการใช้ประโยชน์จากช่องโหว่เก่าใน Apache Struts 2 (CVE-2017-5638 ซึ่งบังเอิญเป็นข้อบกพร่องเดียวกับที่ใช้ในการเริ่มต้น การละเมิดข้อมูล Equifax ครั้งใหญ่ในปี 2017).
ดังนั้น เพื่อป้องกันการโจมตีแบบกำหนดเป้าหมายโดยผู้ก่อภัยคุกคามที่รู้จักหรือไม่รู้จักโดยใช้ NKAbuse แคสเปอร์สกี้แนะนำให้องค์กรต่างๆ อัปเดตระบบปฏิบัติการ แอปพลิเคชัน และซอฟต์แวร์ป้องกันไวรัสเพื่อแก้ไขช่องโหว่ที่ทราบ
หลังจากประสบความสำเร็จในการใช้ประโยชน์ มัลแวร์จะแทรกซึมเข้าไปในอุปกรณ์ของเหยื่อโดยการเรียกใช้เชลล์สคริปต์ระยะไกล (setup.sh) ที่โฮสต์โดยผู้โจมตี ซึ่งจะดาวน์โหลดและดำเนินการฝังมัลแวร์ระยะที่สองที่ปรับแต่งให้เหมาะกับสถาปัตยกรรมระบบปฏิบัติการเป้าหมาย ซึ่งจัดเก็บไว้ในไดเร็กทอรี /tmp สำหรับ การดำเนินการ
ด้วยเหตุนี้ บริษัทรักษาความปลอดภัยยังแนะนำให้ปรับใช้โซลูชันการตรวจจับและการตอบสนองปลายทาง (EDR) สำหรับการตรวจจับ กิจกรรมทางไซเบอร์ การตรวจสอบ และการแก้ไขเหตุการณ์ที่เกิดขึ้นภายหลังการบุกรุก
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cloud-security/nkabuse-malware-blockchain-hide-linux-iot
- :มี
- :เป็น
- 000
- 2023
- 60
- 7
- a
- เข้า
- ตาม
- กิจกรรม
- นักแสดง
- การกระทำ
- ที่อยู่
- เพิ่ม
- การบริหาร
- อัลกอริทึม
- ทั้งหมด
- อนุญาต
- ด้วย
- an
- การวิเคราะห์
- และ
- ไม่เปิดเผยชื่อ
- โปรแกรมป้องกันไวรัส
- อาปาเช่
- การใช้งาน
- สถาปัตยกรรม
- เป็น
- ARM
- ติดอาวุธ
- AS
- At
- โจมตี
- การโจมตี
- ประตูหลัง
- BE
- รับ
- ก่อน
- เริ่ม
- เกิน
- blockchain
- เทคโนโลยี blockchain
- ธ ปท
- ทั้งสอง
- บ็อตเน็ต
- ขอบเขต
- ช่องโหว่
- เบราว์เซอร์
- Bug
- แต่
- by
- ที่เรียกว่า
- รณรงค์
- แคมเปญ
- CAN
- ความสามารถในการ
- จับ
- การปฏิบัติ
- การอยู่ตรงกลาง
- ส่วนกลาง
- โซ่
- เมฆ
- รหัส
- โคลอมเบีย
- การสื่อสาร
- ซับซ้อน
- ปกปิด
- องค์ประกอบ
- ควบคุม
- ตัวควบคุม
- แปลง
- ได้
- cryptocurrency
- ข้อมูล
- การละเมิดข้อมูล
- DDoS
- ซึ่งกระจายอำนาจ
- Denial of Service
- ปรับใช้
- ปรับใช้
- การใช้งาน
- ปลายทาง
- การตรวจพบ
- พัฒนา
- อุปกรณ์
- ต่าง
- ค้นพบ
- แสดง
- ทำลาย
- กระจาย
- จำหน่าย
- หลาย
- DNS
- ดาวน์โหลด
- ที่มีประสิทธิภาพ
- พนักงาน
- ปลายทาง
- เพื่อให้แน่ใจ
- Equifax
- ตัวอย่าง
- รัน
- การปฏิบัติ
- แสดง
- อธิบาย
- เอาเปรียบ
- การแสวงหาผลประโยชน์
- การใช้ประโยชน์จาก
- การหาประโยชน์
- สำรวจ
- อย่างกว้างขวาง
- สารสกัด
- บริษัท
- ชื่อจริง
- สำหรับ
- ราคาเริ่มต้นที่
- อย่างเต็มที่
- ฟังก์ชั่น
- การรวบรวม
- สร้าง
- กำหนด
- Go
- ให้
- เป็นอันตราย
- มี
- ซ่อน
- ไฮไลต์
- เจ้าภาพ
- เป็นเจ้าภาพ
- เจ้าภาพ
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- ที่ http
- HTTPS
- ระบุ
- ส่งผลกระทบต่อ
- in
- อุบัติการณ์
- รวมถึง
- รวมทั้ง
- บ่งชี้ว่า
- ข้อมูล
- แรกเริ่ม
- ตัวอย่าง
- แทน
- อินเทอร์เน็ต
- อินเทอร์เน็ตของสิ่งที่
- การสอบสวน
- IOT
- IP
- ที่อยู่ IP
- IT
- ITS
- jpg
- กรกฎาคม
- Kaspersky
- เก็บ
- เตะ
- ที่รู้จักกัน
- การเปิดตัว
- กดไลก์
- ลินุกซ์
- สด
- เครื่อง
- ทำให้
- มัลแวร์
- หน้ากาก
- เจ้านาย
- กลไก
- หน่วยความจำ
- เม็กซิโก
- ข้อมูลเพิ่มเติม
- มากที่สุด
- หลาย
- เครือข่าย
- เครือข่าย
- เครือข่าย
- ไม่
- ปม
- โหนด
- เด่น
- ตุลาคม
- of
- ปิด
- เป็นทางการ
- เก่า
- on
- การดำเนินงาน
- ระบบปฏิบัติการ
- การดำเนินการ
- or
- องค์กร
- องค์กร
- OS
- เกิน
- พาโลอัลโต
- ทางเดิน
- เพื่อนเพื่อเพื่อน
- เพื่อนร่วมงาน
- วิริยะ
- สถานที่
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- PoC
- ความเป็นไปได้
- ที่มีศักยภาพ
- ที่มีประสิทธิภาพ
- ป้องกัน
- ก่อนหน้านี้
- โปรโตคอล
- โปรโตคอล
- รับ
- แนะนำ
- ปกติ
- ความเชื่อถือได้
- รีโมท
- รายงาน
- นักวิจัย
- คำตอบ
- ผล
- ความเสี่ยง
- การกำหนดเส้นทาง
- วิ่ง
- s
- เดียวกัน
- พูดว่า
- ภาพหน้าจอ
- ต้นฉบับ
- ความปลอดภัย
- ดูเหมือนว่า
- ส่ง
- เซิร์ฟเวอร์
- บริการ
- การติดตั้ง
- เปลือก
- จัดแสดง
- อย่างมีความหมาย
- พร้อมกัน
- ซอฟต์แวร์
- โซลูชัน
- บางคน
- ซับซ้อน
- ระยะ
- ไม่หยุดหย่อน
- เก็บไว้
- การเก็บรักษา
- เพรียวลม
- โครงสร้าง
- ที่ประสบความสำเร็จ
- ระบบ
- ระบบ
- ปรับปรุง
- เป้า
- เป้าหมาย
- กำหนดเป้าหมาย
- เทคนิค
- เทคโนโลยี
- กว่า
- ที่
- พื้นที่
- การโจรกรรม
- พวกเขา
- แล้วก็
- ที่นั่น
- สิ่ง
- นี้
- ในสัปดาห์นี้
- คิดว่า
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- ตลอด
- เวลา
- ไปยัง
- เครื่องมือ
- ไปทาง
- ส่งผ่าน
- ชนิด
- ไม่มีสิทธิ
- เป็นเอกลักษณ์
- หน่วย
- ไม่ทราบ
- บันทึก
- ให้กับคุณ
- ใช้
- มือสอง
- ใช้
- การใช้
- การใช้ประโยชน์
- ต่างๆ
- อเนกประสงค์
- เหยื่อ
- เวียดนาม
- ช่องโหว่
- ความอ่อนแอ
- คือ
- เคยเป็น
- สัปดาห์
- ดี
- ไป
- อะไร
- ที่
- กว้าง
- ป่า
- กับ
- หนอน
- เขียน
- ลมทะเล