Складне шкідливе програмне забезпечення NKAbuse використовує блокчейн для приховування на машинах Linux, IoT

Було виявлено, що складне та універсальне шкідливе програмне забезпечення під назвою NKAbuse працює як флудер і бекдор, націлене на робочі столи Linux у Колумбії, Мексиці та В’єтнамі.

Відповідно до звіту Kaspersky цього тижня, ця крос-платформна загроза, написана на Go, використовує одноранговий мережевий протокол NKN, орієнтований на блокчейн. NKAbuse може заражати системи Linux, а також архітектури, засновані на Linux, такі як MISP і ARM, що також ставить під загрозу пристрої Інтернету речей (IoT).

Децентралізовані Мережа НКН містить понад 60,000 XNUMX офіційних вузлів і використовує різні алгоритми маршрутизації для оптимізації передачі даних шляхом визначення найефективнішого шляху вузла до пункту призначення певного корисного навантаження.

Унікальний мультиінструментальний підхід до шкідливих програм

Лісандро Убієдо, дослідник безпеки в Kaspersky, пояснює, що унікальність цієї шкідливої ​​програми полягає в тому, що вона використовує технологію NKN для отримання та надсилання даних від однорангових пристроїв і до них, а також використання Go для створення різних архітектур, які можуть заразити різні типи систем. .

Він функціонує як бекдор для надання неавторизованого доступу, причому більшість його команд зосереджені на постійності, виконанні команд і зборі інформації. Зловмисне програмне забезпечення може, наприклад, робити знімки екрана, визначаючи межі відображення, перетворювати їх у формат PNG і передавати бот-майстру, відповідно до Аналіз Kaspersky зловмисного програмного забезпечення NKAbuse.

Одночасно він діє як флудер, запускаючи деструктивні розподілені атаки на відмову в обслуговуванні (DDoS), які можуть порушити цільові сервери та мережі, несучи ризик значного впливу на організаційні операції.

«Це потужний імплантат Linux із можливостями флудера та бекдору, який може атакувати ціль одночасно за допомогою кількох протоколів, наприклад HTTP, DNS або TCP, а також може дозволити зловмиснику контролювати систему та витягувати з неї інформацію», — каже Убієдо. . «Все в одному імплантаті».

Імплантат також містить структуру «Heartbeat» для регулярного зв’язку з ботом-майстром, зберігаючи дані про інфікований хост, як-от PID, IP-адресу, пам’ять і конфігурацію.

Він додає, що до того, як це зловмисне програмне забезпечення з’явилося в дикій природі, існувала перевірка концепції (PoC) під назвою NGLite, яка досліджувала можливість використання NKN як інструменту віддаленого адміністрування, але вона не була настільки широко розробленою та настільки озброєною. як NKAbuse.

Блокчейн, який використовується для маскування шкідливого коду

Раніше використовувалися однорангові мережі поширювати шкідливі програми, включно з «хмарним хробаком», виявленим підрозділом 42 мережі Пало-Альто в липні 2023 року, який вважається першим етапом ширшого операція криптомайнінгу.

А в жовтні було виявлено використання кампанії ClearFake власна технологія блокчейн для приховування шкідливого коду, розповсюдження зловмисного програмного забезпечення, наприклад RedLine, Amadey і Lumma, через оманливі кампанії оновлення веб-переглядача.

Ця кампанія, яка використовує техніку під назвою «EtherHiding», продемонструвала, як зловмисники використовують блокчейн, крім крадіжки криптовалюти, підкресливши його використання для приховування різноманітних шкідливих дій.

«[Використання] технології блокчейну забезпечує як надійність, так і анонімність, що вказує на потенціал цього ботнету до постійного розширення з часом, здавалося б, позбавленого центрального контролера, який можна ідентифікувати», — зазначається у звіті Kaspersky.

Оновлення антивіруса та розгортання EDR

Примітно, що зловмисне програмне забезпечення не має механізму саморозповсюдження — натомість воно покладається на те, що хтось використовує вразливість для розгортання первинної інфекції. Наприклад, у атаках, які спостерігав Касперський, ланцюжок атак починався з використання старої вразливості в Apache Struts 2 (CVE-2017-5638, яка, до речі, є тією самою помилкою, що використовувалася для запуску масовий витік даних Equifax у 2017 році).

Таким чином, щоб запобігти цілеспрямованим атакам відомих або невідомих загроз, які використовують NKAbuse, Kaspersky радить організаціям постійно оновлювати операційні системи, програми та антивірусне програмне забезпечення для усунення відомих вразливостей.

Після успішного використання зловмисне програмне забезпечення проникає на пристрої-жертви, запускаючи сценарій віддаленої оболонки (setup.sh), розміщений зловмисниками, який завантажує та виконує імплантацію другого етапу зловмисного програмного забезпечення, адаптоване до цільової архітектури ОС, що зберігається в каталозі /tmp для виконання.

У зв’язку з цим охоронна фірма також рекомендує розгортати рішення для виявлення та реагування на кінцеві точки (EDR) для виявлення кіберактивності після злому, розслідування та швидкого усунення інцидентів.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/cloud-security/nkabuse-malware-blockchain-hide-linux-iot