Було виявлено, що складне та універсальне шкідливе програмне забезпечення під назвою NKAbuse працює як флудер і бекдор, націлене на робочі столи Linux у Колумбії, Мексиці та В’єтнамі.
Відповідно до звіту Kaspersky цього тижня, ця крос-платформна загроза, написана на Go, використовує одноранговий мережевий протокол NKN, орієнтований на блокчейн. NKAbuse може заражати системи Linux, а також архітектури, засновані на Linux, такі як MISP і ARM, що також ставить під загрозу пристрої Інтернету речей (IoT).
Децентралізовані Мережа НКН містить понад 60,000 XNUMX офіційних вузлів і використовує різні алгоритми маршрутизації для оптимізації передачі даних шляхом визначення найефективнішого шляху вузла до пункту призначення певного корисного навантаження.
Унікальний мультиінструментальний підхід до шкідливих програм
Лісандро Убієдо, дослідник безпеки в Kaspersky, пояснює, що унікальність цієї шкідливої програми полягає в тому, що вона використовує технологію NKN для отримання та надсилання даних від однорангових пристроїв і до них, а також використання Go для створення різних архітектур, які можуть заразити різні типи систем. .
Він функціонує як бекдор для надання неавторизованого доступу, причому більшість його команд зосереджені на постійності, виконанні команд і зборі інформації. Зловмисне програмне забезпечення може, наприклад, робити знімки екрана, визначаючи межі відображення, перетворювати їх у формат PNG і передавати бот-майстру, відповідно до Аналіз Kaspersky зловмисного програмного забезпечення NKAbuse.
Одночасно він діє як флудер, запускаючи деструктивні розподілені атаки на відмову в обслуговуванні (DDoS), які можуть порушити цільові сервери та мережі, несучи ризик значного впливу на організаційні операції.
«Це потужний імплантат Linux із можливостями флудера та бекдору, який може атакувати ціль одночасно за допомогою кількох протоколів, наприклад HTTP, DNS або TCP, а також може дозволити зловмиснику контролювати систему та витягувати з неї інформацію», — каже Убієдо. . «Все в одному імплантаті».
Імплантат також містить структуру «Heartbeat» для регулярного зв’язку з ботом-майстром, зберігаючи дані про інфікований хост, як-от PID, IP-адресу, пам’ять і конфігурацію.
Він додає, що до того, як це зловмисне програмне забезпечення з’явилося в дикій природі, існувала перевірка концепції (PoC) під назвою NGLite, яка досліджувала можливість використання NKN як інструменту віддаленого адміністрування, але вона не була настільки широко розробленою та настільки озброєною. як NKAbuse.
Блокчейн, який використовується для маскування шкідливого коду
Раніше використовувалися однорангові мережі поширювати шкідливі програми, включно з «хмарним хробаком», виявленим підрозділом 42 мережі Пало-Альто в липні 2023 року, який вважається першим етапом ширшого операція криптомайнінгу.
А в жовтні було виявлено використання кампанії ClearFake власна технологія блокчейн для приховування шкідливого коду, розповсюдження зловмисного програмного забезпечення, наприклад RedLine, Amadey і Lumma, через оманливі кампанії оновлення веб-переглядача.
Ця кампанія, яка використовує техніку під назвою «EtherHiding», продемонструвала, як зловмисники використовують блокчейн, крім крадіжки криптовалюти, підкресливши його використання для приховування різноманітних шкідливих дій.
«[Використання] технології блокчейну забезпечує як надійність, так і анонімність, що вказує на потенціал цього ботнету до постійного розширення з часом, здавалося б, позбавленого центрального контролера, який можна ідентифікувати», — зазначається у звіті Kaspersky.
Оновлення антивіруса та розгортання EDR
Примітно, що зловмисне програмне забезпечення не має механізму саморозповсюдження — натомість воно покладається на те, що хтось використовує вразливість для розгортання первинної інфекції. Наприклад, у атаках, які спостерігав Касперський, ланцюжок атак починався з використання старої вразливості в Apache Struts 2 (CVE-2017-5638, яка, до речі, є тією самою помилкою, що використовувалася для запуску масовий витік даних Equifax у 2017 році).
Таким чином, щоб запобігти цілеспрямованим атакам відомих або невідомих загроз, які використовують NKAbuse, Kaspersky радить організаціям постійно оновлювати операційні системи, програми та антивірусне програмне забезпечення для усунення відомих вразливостей.
Після успішного використання зловмисне програмне забезпечення проникає на пристрої-жертви, запускаючи сценарій віддаленої оболонки (setup.sh), розміщений зловмисниками, який завантажує та виконує імплантацію другого етапу зловмисного програмного забезпечення, адаптоване до цільової архітектури ОС, що зберігається в каталозі /tmp для виконання.
У зв’язку з цим охоронна фірма також рекомендує розгортати рішення для виявлення та реагування на кінцеві точки (EDR) для виявлення кіберактивності після злому, розслідування та швидкого усунення інцидентів.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/cloud-security/nkabuse-malware-blockchain-hide-linux-iot
- : має
- :є
- 000
- 2023
- 60
- 7
- a
- доступ
- За
- діяльності
- актори
- акти
- адреса
- Додає
- адміністрація
- алгоритми
- ВСІ
- дозволяти
- Також
- an
- аналіз
- та
- анонімність
- антивірус
- Apache
- застосування
- архітектура
- ЕСТЬ
- ARM
- озброєний
- AS
- At
- атака
- нападки
- закулісний
- BE
- було
- перед тим
- почалася
- За
- blockchain
- Технологія блокчейна
- Бот
- обидва
- ботнет
- межі
- порушення
- браузер
- Помилка
- але
- by
- званий
- Кампанія
- Кампанії
- CAN
- можливості
- захоплення
- проведення
- центрування
- центральний
- ланцюг
- хмара
- код
- Колумбія
- Комунікація
- комплекс
- приховувати
- конфігурація
- контроль
- контролер
- конвертувати
- може
- криптовалюта
- дані
- Дані порушення
- DDoS
- Децентралізований
- Відмова в обслуговуванні
- розгортання
- розгортання
- розгортання
- призначення
- Виявлення
- розвиненою
- прилади
- різний
- відкритий
- дисплей
- Зривати
- розподілений
- розповсюдження
- Різне
- DNS
- завантажень
- ефективний
- працює
- Кінцева точка
- гарантує
- Equifax
- приклад
- Виконує
- виконання
- Розширювати
- Пояснює
- Експлуатувати
- експлуатація
- експлуатація
- подвигів
- Розвіданий
- широко
- витяг
- Фірма
- Перший
- для
- від
- повністю
- Функції
- збір
- породжувати
- даний
- Go
- надавати
- шкідливий
- Мати
- приховувати
- виділивши
- господар
- відбувся
- хостів
- Як
- HTTP
- HTTPS
- ідентифікує
- впливає
- in
- інцидент
- includes
- У тому числі
- вказує
- інформація
- початковий
- екземпляр
- замість
- інтернет
- Інтернет речей
- дослідження
- КАТО
- IP
- IP-адреса
- IT
- ЙОГО
- JPG
- липень
- Kaspersky
- тримати
- удар
- відомий
- запуск
- як
- Linux
- жити
- Машинки для перманенту
- РОБОТИ
- шкідливих програм
- маска
- майстер
- механізм
- пам'ять
- Мексика
- більше
- найбільш
- множинний
- мережу
- мережа
- мереж
- немає
- вузол
- вузли
- зазначив,
- жовтень
- of
- від
- офіційний
- Старий
- on
- операційний
- операційні системи
- операції
- or
- організаційної
- організації
- OS
- над
- Пало-Альто
- шлях
- пірінгових
- одноліткам
- наполегливість
- місця
- plato
- Інформація про дані Платона
- PlatoData
- PoC
- можливість
- потенціал
- потужний
- запобігати
- раніше
- протокол
- протоколи
- отримати
- рекомендує
- регулярний
- надійність
- віддалений
- звітом
- дослідник
- відповідь
- результат
- Risk
- Маршрутизація
- біг
- s
- то ж
- говорить
- скріншоти
- сценарій
- безпеку
- мабуть
- послати
- Сервери
- обслуговування
- установка
- Склад
- продемонстрований
- істотно
- одночасно
- Софтвер
- Рішення
- Хтось
- складний
- Стажування
- неухильно
- зберігати
- зберігання
- раціоналізувати
- структура
- успішний
- система
- Systems
- з урахуванням
- Мета
- цільове
- націлювання
- техніка
- Технологія
- ніж
- Що
- Команда
- крадіжка
- Їх
- потім
- Там.
- речі
- це
- На цьому тижні
- думка
- загроза
- актори загроз
- через
- час
- до
- інструмент
- до
- передавати
- Типи
- несанкціонований
- створеного
- блок
- невідомий
- Оновити
- оновлений
- використання
- використовуваний
- використовує
- використання
- використовує
- різний
- різнобічний
- Жертва
- В'єтнам
- Уразливості
- вразливість
- було
- wasn
- week
- ДОБРЕ
- пішов
- Що
- який
- ширше
- Wild
- з
- черв'як
- письмовий
- зефірнет