Một phần mềm độc hại phức tạp và linh hoạt có tên NKAbuse đã được phát hiện hoạt động dưới dạng cả một công cụ tấn công và cửa hậu, nhắm mục tiêu vào các máy tính để bàn Linux ở Colombia, Mexico và Việt Nam.
Theo một báo cáo trong tuần này từ Kaspersky, mối đe dọa đa nền tảng này, được viết bằng Go, khai thác giao thức mạng ngang hàng theo định hướng blockchain NKN. NKAbuse có thể lây nhiễm vào các hệ thống Linux cũng như các kiến trúc có nguồn gốc từ Linux như MISP và ARM — điều này cũng khiến các thiết bị Internet of Things (IoT) gặp rủi ro.
Sự phi tập trung Mạng lưới NKN lưu trữ hơn 60,000 nút chính thức và sử dụng nhiều thuật toán định tuyến khác nhau để hợp lý hóa việc truyền dữ liệu bằng cách xác định đường dẫn nút hiệu quả nhất tới đích của tải trọng nhất định.
Cách tiếp cận phần mềm độc hại Multitool độc đáo
Lisandro Ubiedo, nhà nghiên cứu bảo mật tại Kaspersky, giải thích rằng điều khiến phần mềm độc hại này trở nên độc đáo là việc sử dụng công nghệ NKN để nhận và gửi dữ liệu từ và đến các đồng nghiệp của nó, cũng như việc sử dụng Go để tạo ra các kiến trúc khác nhau, có thể lây nhiễm các loại hệ thống khác nhau. .
Nó hoạt động như một cửa hậu để cấp quyền truy cập trái phép, với hầu hết các lệnh của nó tập trung vào việc duy trì, thực thi lệnh và thu thập thông tin. Ví dụ: phần mềm độc hại có thể chụp ảnh màn hình bằng cách xác định giới hạn hiển thị, chuyển đổi chúng thành PNG và truyền chúng đến chủ bot, theo Phân tích phần mềm độc hại của Kaspersky về NKAbuse.
Đồng thời, nó hoạt động như một kẻ tấn công tràn lan, phát động các cuộc tấn công từ chối dịch vụ phân tán (DDoS) mang tính hủy diệt có thể làm gián đoạn các máy chủ và mạng mục tiêu, có nguy cơ ảnh hưởng đáng kể đến hoạt động của tổ chức.
Ubiedo cho biết: “Đây là một bộ cấy Linux mạnh mẽ với khả năng tràn và cửa sau có thể tấn công mục tiêu đồng thời bằng nhiều giao thức như HTTP, DNS hoặc TCP, đồng thời cũng có thể cho phép kẻ tấn công kiểm soát hệ thống và trích xuất thông tin từ nó”. . “Tất cả đều nằm trong cùng một bộ cấy.”
Bộ cấy cũng bao gồm cấu trúc “Heartbeat” để liên lạc thường xuyên với chủ bot, lưu trữ dữ liệu trên máy chủ bị nhiễm như PID, địa chỉ IP, bộ nhớ và cấu hình.
Ông nói thêm rằng trước khi phần mềm độc hại này xuất hiện, đã có một bằng chứng khái niệm (PoC) có tên NGLite khám phá khả năng sử dụng NKN làm công cụ quản trị từ xa, nhưng nó chưa được phát triển rộng rãi cũng như chưa được trang bị đầy đủ. như NKAbuse.
Blockchain được sử dụng để che giấu mã độc hại
Mạng ngang hàng trước đây đã được sử dụng để phân phối phần mềm độc hại, bao gồm cả “sâu đám mây” được Đơn vị 42 của Palo Alto Network phát hiện vào tháng 2023 năm XNUMX, được cho là giai đoạn đầu tiên của một hệ thống rộng hơn hoạt động khai thác mật mã.
Và vào tháng 10, chiến dịch ClearFake đã bị phát hiện bằng cách sử dụng công nghệ blockchain độc quyền để che giấu mã độc hại, phát tán phần mềm độc hại như RedLine, Amadey và Lumma thông qua các chiến dịch cập nhật trình duyệt lừa đảo.
Chiến dịch đó sử dụng kỹ thuật có tên “EtherHiding”, đã cho thấy cách những kẻ tấn công khai thác blockchain ngoài hành vi trộm cắp tiền điện tử, nêu bật việc sử dụng nó trong việc che giấu các hoạt động độc hại khác nhau.
Báo cáo của Kaspersky lưu ý: “Việc sử dụng công nghệ blockchain đảm bảo cả độ tin cậy và tính ẩn danh, điều này cho thấy tiềm năng của mạng botnet này sẽ mở rộng đều đặn theo thời gian, dường như không có bộ điều khiển trung tâm có thể nhận dạng được”.
Cập nhật Antivirus và triển khai EDR
Đáng chú ý, phần mềm độc hại không có cơ chế tự lan truyền – thay vào đó, nó dựa vào việc ai đó khai thác lỗ hổng để triển khai quá trình lây nhiễm ban đầu. Ví dụ: trong các cuộc tấn công mà Kaspersky quan sát thấy, chuỗi tấn công bắt đầu bằng việc khai thác lỗ hổng cũ trong Apache Struts 2 (CVE-2017-5638, tình cờ đây chính là lỗi được sử dụng để khởi động lỗ hổng bảo mật. vi phạm dữ liệu Equifax lớn năm 2017).
Do đó, để ngăn chặn các cuộc tấn công có chủ đích của các tác nhân đe dọa đã biết hoặc chưa biết bằng cách sử dụng NKAbuse, Kaspersky khuyên các tổ chức nên cập nhật hệ điều hành, ứng dụng và phần mềm chống vi-rút để giải quyết các lỗ hổng đã biết.
Sau khi khai thác thành công, phần mềm độc hại sẽ xâm nhập vào thiết bị nạn nhân bằng cách chạy tập lệnh shell từ xa (setup.sh) do kẻ tấn công lưu trữ, tập lệnh này tải xuống và thực thi cấy phần mềm độc hại giai đoạn hai được điều chỉnh theo kiến trúc hệ điều hành đích, được lưu trữ trong thư mục /tmp để chấp hành.
Do đó, công ty bảo mật cũng khuyến nghị triển khai các giải pháp phát hiện và phản hồi điểm cuối (EDR) để phát hiện, điều tra hoạt động mạng sau xâm phạm và khắc phục sự cố kịp thời.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/cloud-security/nkabuse-malware-blockchain-hide-linux-iot
- : có
- :là
- 000
- 2023
- 60
- 7
- a
- truy cập
- Theo
- hoạt động
- diễn viên
- hành vi
- địa chỉ
- Thêm
- quản lý
- thuật toán
- Tất cả
- cho phép
- Ngoài ra
- an
- phân tích
- và
- Ẩn danh
- antivirus
- Apache
- các ứng dụng
- kiến trúc
- LÀ
- ARM
- vũ trang
- AS
- At
- tấn công
- Các cuộc tấn công
- cửa sau
- BE
- được
- trước
- bắt đầu
- Ngoài
- blockchain
- Công nghệ blockchain
- Bot
- cả hai
- Mạng lưới
- giới hạn
- vi phạm
- trình duyệt
- Bug
- nhưng
- by
- gọi là
- Chiến dịch
- Chiến dịch
- CAN
- khả năng
- nắm bắt
- thực
- định tâm
- trung tâm
- chuỗi
- đám mây
- mã
- Colombia
- Giao tiếp
- phức tạp
- giấu
- Cấu hình
- điều khiển
- điều khiển
- chuyển đổi
- có thể
- cryptocurrency
- dữ liệu
- vi phạm dữ liệu
- DDoS
- Phân quyền
- Denial of Service
- triển khai
- triển khai
- triển khai
- điểm đến
- Phát hiện
- phát triển
- Thiết bị (Devices)
- khác nhau
- phát hiện
- Giao diện
- Làm gián đoạn
- phân phối
- phân phối
- khác nhau
- dns
- Tải xuống
- hiệu quả
- sử dụng
- Điểm cuối
- đảm bảo
- Equifax
- ví dụ
- Thi công
- thực hiện
- Mở rộng
- Giải thích
- Khai thác
- khai thác
- khai thác
- khai thác
- Khám phá
- rộng rãi
- trích xuất
- Công ty
- Tên
- Trong
- từ
- đầy đủ
- chức năng
- thu thập
- tạo ra
- được
- Go
- cấp
- có hại
- Có
- Ẩn giấu
- làm nổi bật
- chủ nhà
- tổ chức
- host
- Độ đáng tin của
- http
- HTTPS
- xác định
- tác động
- in
- sự cố
- bao gồm
- Bao gồm
- chỉ
- thông tin
- ban đầu
- ví dụ
- thay vì
- Internet
- Internet của sự vật
- điều tra
- iốt
- IP
- Địa chỉ IP
- IT
- ITS
- jpg
- Tháng Bảy
- Kaspersky
- Giữ
- đá
- nổi tiếng
- ra mắt
- Lượt thích
- linux
- sống
- Máy móc
- LÀM CHO
- phần mềm độc hại
- mặt nạ
- chủ
- cơ chế
- Bộ nhớ
- Mexico
- chi tiết
- hầu hết
- nhiều
- mạng
- mạng lưới
- mạng
- Không
- nút
- các nút
- lưu ý
- Tháng Mười
- of
- off
- chính thức
- Xưa
- on
- hoạt động
- các hệ điều hành
- Hoạt động
- or
- tổ chức
- tổ chức
- OS
- kết thúc
- Palo Alto
- con đường
- ngang ngang nhau
- đồng nghiệp
- kiên trì
- Nơi
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- PoC
- khả năng
- tiềm năng
- mạnh mẽ
- ngăn chặn
- trước đây
- giao thức
- giao thức
- nhận
- đề nghị
- đều đặn
- độ tin cậy
- xa
- báo cáo
- nhà nghiên cứu
- phản ứng
- kết quả
- Nguy cơ
- định tuyến
- chạy
- s
- tương tự
- nói
- ảnh chụp màn hình
- kịch bản
- an ninh
- có vẻ
- gửi
- Các máy chủ
- dịch vụ
- thiết lập
- Shell
- giới thiệu
- đáng kể
- đồng thời
- Phần mềm
- Giải pháp
- Một người nào đó
- tinh vi
- Traineeship
- ổn định
- lưu trữ
- lưu trữ
- hợp lý hóa
- cấu trúc
- thành công
- hệ thống
- hệ thống
- phù hợp
- Mục tiêu
- nhắm mục tiêu
- nhắm mục tiêu
- kỹ thuật
- Công nghệ
- hơn
- việc này
- Sản phẩm
- trộm cắp
- Them
- sau đó
- Đó
- điều
- điều này
- tuần này
- nghĩ
- mối đe dọa
- diễn viên đe dọa
- Thông qua
- thời gian
- đến
- công cụ
- đối với
- truyền
- loại
- không được phép
- độc đáo
- đơn vị
- không xác định
- Cập nhật
- cập nhật
- sử dụng
- đã sử dụng
- sử dụng
- sử dụng
- Bằng cách sử dụng
- khác nhau
- linh hoạt
- nạn nhân
- Việt Nam
- Lỗ hổng
- dễ bị tổn thương
- là
- không phải
- tuần
- TỐT
- đi
- Điều gì
- cái nào
- rộng hơn
- Hoang dã
- với
- sâu
- viết
- zephyrnet