Phần mềm độc hại 'NKAbuse' phức tạp sử dụng Blockchain để ẩn trên Linux, máy IoT

Một phần mềm độc hại phức tạp và linh hoạt có tên NKAbuse đã được phát hiện hoạt động dưới dạng cả một công cụ tấn công và cửa hậu, nhắm mục tiêu vào các máy tính để bàn Linux ở Colombia, Mexico và Việt Nam.

Theo một báo cáo trong tuần này từ Kaspersky, mối đe dọa đa nền tảng này, được viết bằng Go, khai thác giao thức mạng ngang hàng theo định hướng blockchain NKN. NKAbuse có thể lây nhiễm vào các hệ thống Linux cũng như các kiến ​​trúc có nguồn gốc từ Linux như MISP và ARM — điều này cũng khiến các thiết bị Internet of Things (IoT) gặp rủi ro.

Sự phi tập trung Mạng lưới NKN lưu trữ hơn 60,000 nút chính thức và sử dụng nhiều thuật toán định tuyến khác nhau để hợp lý hóa việc truyền dữ liệu bằng cách xác định đường dẫn nút hiệu quả nhất tới đích của tải trọng nhất định.

Cách tiếp cận phần mềm độc hại Multitool độc đáo

Lisandro Ubiedo, nhà nghiên cứu bảo mật tại Kaspersky, giải thích rằng điều khiến phần mềm độc hại này trở nên độc đáo là việc sử dụng công nghệ NKN để nhận và gửi dữ liệu từ và đến các đồng nghiệp của nó, cũng như việc sử dụng Go để tạo ra các kiến ​​trúc khác nhau, có thể lây nhiễm các loại hệ thống khác nhau. .

Nó hoạt động như một cửa hậu để cấp quyền truy cập trái phép, với hầu hết các lệnh của nó tập trung vào việc duy trì, thực thi lệnh và thu thập thông tin. Ví dụ: phần mềm độc hại có thể chụp ảnh màn hình bằng cách xác định giới hạn hiển thị, chuyển đổi chúng thành PNG và truyền chúng đến chủ bot, theo Phân tích phần mềm độc hại của Kaspersky về NKAbuse.

Đồng thời, nó hoạt động như một kẻ tấn công tràn lan, phát động các cuộc tấn công từ chối dịch vụ phân tán (DDoS) mang tính hủy diệt có thể làm gián đoạn các máy chủ và mạng mục tiêu, có nguy cơ ảnh hưởng đáng kể đến hoạt động của tổ chức.

Ubiedo cho biết: “Đây là một bộ cấy Linux mạnh mẽ với khả năng tràn và cửa sau có thể tấn công mục tiêu đồng thời bằng nhiều giao thức như HTTP, DNS hoặc TCP, đồng thời cũng có thể cho phép kẻ tấn công kiểm soát hệ thống và trích xuất thông tin từ nó”. . “Tất cả đều nằm trong cùng một bộ cấy.”

Bộ cấy cũng bao gồm cấu trúc “Heartbeat” để liên lạc thường xuyên với chủ bot, lưu trữ dữ liệu trên máy chủ bị nhiễm như PID, địa chỉ IP, bộ nhớ và cấu hình.

Ông nói thêm rằng trước khi phần mềm độc hại này xuất hiện, đã có một bằng chứng khái niệm (PoC) có tên NGLite khám phá khả năng sử dụng NKN làm công cụ quản trị từ xa, nhưng nó chưa được phát triển rộng rãi cũng như chưa được trang bị đầy đủ. như NKAbuse.

Blockchain được sử dụng để che giấu mã độc hại

Mạng ngang hàng trước đây đã được sử dụng để phân phối phần mềm độc hại, bao gồm cả “sâu đám mây” được Đơn vị 42 của Palo Alto Network phát hiện vào tháng 2023 năm XNUMX, được cho là giai đoạn đầu tiên của một hệ thống rộng hơn hoạt động khai thác mật mã.

Và vào tháng 10, chiến dịch ClearFake đã bị phát hiện bằng cách sử dụng công nghệ blockchain độc quyền để che giấu mã độc hại, phát tán phần mềm độc hại như RedLine, Amadey và Lumma thông qua các chiến dịch cập nhật trình duyệt lừa đảo.

Chiến dịch đó sử dụng kỹ thuật có tên “EtherHiding”, đã cho thấy cách những kẻ tấn công khai thác blockchain ngoài hành vi trộm cắp tiền điện tử, nêu bật việc sử dụng nó trong việc che giấu các hoạt động độc hại khác nhau.

Báo cáo của Kaspersky lưu ý: “Việc sử dụng công nghệ blockchain đảm bảo cả độ tin cậy và tính ẩn danh, điều này cho thấy tiềm năng của mạng botnet này sẽ mở rộng đều đặn theo thời gian, dường như không có bộ điều khiển trung tâm có thể nhận dạng được”.

Cập nhật Antivirus và triển khai EDR

Đáng chú ý, phần mềm độc hại không có cơ chế tự lan truyền – thay vào đó, nó dựa vào việc ai đó khai thác lỗ hổng để triển khai quá trình lây nhiễm ban đầu. Ví dụ: trong các cuộc tấn công mà Kaspersky quan sát thấy, chuỗi tấn công bắt đầu bằng việc khai thác lỗ hổng cũ trong Apache Struts 2 (CVE-2017-5638, tình cờ đây chính là lỗi được sử dụng để khởi động lỗ hổng bảo mật. vi phạm dữ liệu Equifax lớn năm 2017).

Do đó, để ngăn chặn các cuộc tấn công có chủ đích của các tác nhân đe dọa đã biết hoặc chưa biết bằng cách sử dụng NKAbuse, Kaspersky khuyên các tổ chức nên cập nhật hệ điều hành, ứng dụng và phần mềm chống vi-rút để giải quyết các lỗ hổng đã biết.

Sau khi khai thác thành công, phần mềm độc hại sẽ xâm nhập vào thiết bị nạn nhân bằng cách chạy tập lệnh shell từ xa (setup.sh) do kẻ tấn công lưu trữ, tập lệnh này tải xuống và thực thi cấy phần mềm độc hại giai đoạn hai được điều chỉnh theo kiến ​​trúc hệ điều hành đích, được lưu trữ trong thư mục /tmp để chấp hành.

Do đó, công ty bảo mật cũng khuyến nghị triển khai các giải pháp phát hiện và phản hồi điểm cuối (EDR) để phát hiện, điều tra hoạt động mạng sau xâm phạm và khắc phục sự cố kịp thời.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/cloud-security/nkabuse-malware-blockchain-hide-linux-iot