Ερευνητές κυβερνοασφάλειας από την Global Emergency Response Team (GERT) της Kaspersky εντόπισαν ότι το κακόβουλο λογισμικό NKAbuse στοχεύει ενεργά συσκευές στην Κολομβία, το Μεξικό και το Βιετνάμ.
Η Παγκόσμια Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης (GERT) της Kaspersky ανακάλυψε μια νέα απειλή κακόβουλου λογισμικού πολλαπλών πλατφορμών που χρησιμοποιεί καινοτόμες τακτικές για την αεροπειρατεία των θυμάτων. Το κακόβουλο λογισμικό, που ονομάζεται NKAbuse, χρησιμοποιεί την τεχνολογία Νέου Είδους Δικτύου (NKN), ένα πρωτόκολλο δικτύου peer-to-peer που τροφοδοτείται από blockchain για να διαδώσει τη μόλυνση του.
Το NKAbuse είναι ένα backdoor που βασίζεται στο Go και χρησιμοποιείται ως botnet για τη στόχευση επιτραπέζιων υπολογιστών Linux και δυνητικά συσκευών IoT. Το κακόβουλο λογισμικό επιτρέπει στους εισβολείς να ξεκινήσουν την Κατανεμημένη άρνηση υπηρεσίας (DDoS) επιθέσεις ή πετώντας trojan απομακρυσμένης πρόσβασης (RAT).
Αξίζει να σημειωθεί ότι το backdoor βασίζεται στο NKN για ανώνυμη αλλά αξιόπιστη ανταλλαγή δεδομένων. Προς ενημέρωσή σας, το NKN είναι ένα πρωτόκολλο ανοιχτού κώδικα που επιτρέπει την ανταλλαγή δεδομένων peer-to-peer μέσω μιας δημόσιας αλυσίδας μπλοκ με περισσότερους από 60.000 ενεργούς κόμβους. Στόχος του είναι να παρέχει μια αποκεντρωμένη εναλλακτική λύση στις μεθόδους πελάτη-προς-διακομιστή, διατηρώντας παράλληλα την ταχύτητα και το απόρρητο.
Το botnet μπορεί να πραγματοποιήσει επιθέσεις πλημμύρας χρησιμοποιώντας τους 60.000 επίσημους κόμβους και συνδέσμους πίσω στους διακομιστές C2 (εντολή και έλεγχος). Διαθέτει ένα εκτεταμένο οπλοστάσιο επιθέσεων DDoS και πολλαπλές δυνατότητες για να μετατραπεί σε ένα ισχυρό backdoor ή RAT.
Το εμφύτευμα κακόβουλου λογισμικού δημιουργεί μια δομή που ονομάζεται “Heartbeat” που επικοινωνεί τακτικά με τον κύριο του bot. Αποθηκεύει πληροφορίες σχετικά με τον μολυσμένο κεντρικό υπολογιστή, συμπεριλαμβανομένου του PID, της διεύθυνσης IP, της ελεύθερης μνήμης και της τρέχουσας διαμόρφωσης του θύματος.
Ερευνητές της Kaspersky ακάλυπτος Η NKAbuse ενώ διερεύνησε ένα περιστατικό που στόχευε έναν από τους πελάτες της στον χρηματοοικονομικό τομέα. Περαιτέρω εξέταση αποκάλυψε ότι το NKAbuse εκμεταλλεύεται μια παλιά ευπάθεια του Apache Struts 2 (που παρακολουθείται ως CVE-2017-5638).
Η ευπάθεια, όπως αναφέρει το Hackread.com τον Δεκέμβριο του 2017, επιτρέπει στους εισβολείς να εκτελούν εντολές στον διακομιστή χρησιμοποιώντας μια κεφαλίδα “κέλυφος” και το Bash και στη συνέχεια να εκτελέσουν μια εντολή για λήψη του αρχικού σεναρίου.
Το NKAbuse αξιοποιεί το πρωτόκολλο NKN για να επικοινωνεί με το κύριο bot και να στέλνει/λαμβάνει πληροφορίες. Δημιουργεί έναν νέο λογαριασμό και έναν πολυπελάτη για την ταυτόχρονη αποστολή/λήψη δεδομένων από πολλούς πελάτες.
Ο λογαριασμός NKN προετοιμάζεται με μια συμβολοσειρά 64 χαρακτήρων που αντιπροσωπεύει το δημόσιο κλειδί και την απομακρυσμένη διεύθυνση. Μόλις ρυθμιστεί ο υπολογιστής-πελάτης, το κακόβουλο λογισμικό δημιουργεί έναν χειριστή για την αποδοχή εισερχόμενων μηνυμάτων, ο οποίος περιέχει 42 περιπτώσεις, καθεμία από τις οποίες εκτελεί διαφορετικές ενέργειες με βάση τον απεσταλμένο κώδικα.
Οι ερευνητές παρατήρησαν ότι οι επιτιθέμενοι εκμεταλλεύτηκαν το ελάττωμα του Struts 2 χρησιμοποιώντας μια δημόσια διαθέσιμη απόδειξη της ιδέας εκμετάλλευσης. Εκτέλεσαν ένα σενάριο απομακρυσμένου κελύφους, καθορίζοντας το λειτουργικό σύστημα του θύματος και εγκαθιστώντας ένα ωφέλιμο φορτίο δεύτερου σταδίου. Χρησιμοποιώντας την έκδοση amd64 του NKAbuse, η επίθεση πέτυχε επιμονή μέσω εργασιών cron.
«Αυτό το συγκεκριμένο εμφύτευμα φαίνεται να έχει δημιουργηθεί σχολαστικά για ενσωμάτωση σε ένα botnet, ωστόσο μπορεί να προσαρμοστεί στη λειτουργία ως κερκόπορτα σε έναν συγκεκριμένο κεντρικό υπολογιστή και η χρήση της τεχνολογίας blockchain εξασφαλίζει αξιοπιστία και ανωνυμία, γεγονός που υποδεικνύει τη δυνατότητα επέκτασης αυτού του botnet σταθερά με την πάροδο του χρόνου, φαινομενικά στερούμενος ενός αναγνωρίσιμου κεντρικού ελεγκτή».
Η Παγκόσμια Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης της Kaspersky (GERT)
Το NKAbuse δεν έχει λειτουργία αυτοδιάδοσης και μπορεί να στοχεύσει τουλάχιστον οκτώ διαφορετικές αρχιτεκτονικές, αν και το Linux είναι η προτεραιότητα. Η επιτυχής εμφύτευση μπορεί να οδηγήσει σε παραβίαση δεδομένων, κλοπή, απομακρυσμένη διαχείριση, επιμονή και επιθέσεις DDoS.
Προς το παρόν, οι χειριστές του εστιάζουν στη μόλυνση συσκευών στην Κολομβία, το Μεξικό και το Βιετνάμ. Ωστόσο, οι ερευνητές υποψιάζονται ότι μπορεί να επεκταθεί με την πάροδο του χρόνου.
ΣΧΕΤΙΚΑ ΑΡΘΡΑ
- Δωρεάν Λήψη Διευθυντής Ιστότοπου Pushed Linux Password Stealer
- Νέες εταιρείες τηλεπικοινωνιών στόχευσης Linux RAT Krasue, συνδεδεμένες με XorDdos
- Χάκερ της Χαμάς στοχεύουν Ισραηλινούς με νέο κακόβουλο λογισμικό BiBi-Linux Wiper
- Το Kinsing Crypto Malware χτυπά τα συστήματα Linux μέσω του Apache ActiveMQ Flaw
- Η ευπάθεια του Looney Tunables Linux εκθέτει εκατομμύρια συστήματα σε επίθεση