Se ha descubierto un malware sofisticado y versátil llamado NKAbuse que funciona como inundador y puerta trasera, dirigido a escritorios Linux en Colombia, México y Vietnam.

Según un informe de esta semana de Kaspersky, esta amenaza multiplataforma, escrita en Go, explota el protocolo de red peer-to-peer orientado a blockchain NKN. NKAbuse puede infectar sistemas Linux, así como arquitecturas derivadas de Linux como MISP y ARM, lo que también pone en riesgo los dispositivos de World wide web de las cosas (IoT).

Los descentralizados pink NKN alberga más de 60.000 nodos oficiales y emplea varios algoritmos de enrutamiento para agilizar la transmisión de datos identificando la ruta de nodo más eficiente hacia el destino de una carga útil determinada.

Un enfoque único de malware multiherramienta

Lisandro Ubiedo, investigador de seguridad de Kaspersky, explica que lo que hace único a este malware es el uso de la tecnología NKN para recibir y enviar datos desde y hacia sus pares, y el uso de Go para generar diferentes arquitecturas, que podrían infectar diferentes tipos de sistemas. .

Funciona como una puerta trasera para otorgar acceso no autorizado, y la mayoría de sus comandos se centran en la persistencia, la ejecución de comandos y la recopilación de información. El malware puede, por ejemplo, capturar capturas de pantalla identificando los límites de visualización, convertirlas a PNG y transmitirlas al robotic maestro, según Análisis de malware de Kaspersky sobre NKAbuse.

Al mismo tiempo, actúa como una inundación, lanzando ataques destructivos de denegación de servicio distribuido (DDoS) que pueden interrumpir servidores y redes específicos, lo que conlleva el riesgo de afectar significativamente las operaciones de la organización.

«Es un poderoso implante de Linux con capacidades de inundación y puerta trasera que puede atacar a un objetivo simultáneamente usando múltiples protocolos como HTTP, DNS o TCP, por ejemplo, y también puede permitir a un atacante controlar el sistema y extraer información de él», dice Ubiedo. . «Todo en el mismo implante».

El implante también incluye una estructura «Heartbeat» para la comunicación common con el robot maestro, almacenando datos en el host infectado como PID, dirección IP, memoria y configuración.

Agrega que antes de que este malware saliera a la luz, había una prueba de concepto (PoC) llamada NGLite que exploraba la posibilidad de usar NKN como herramienta de administración remota, pero no estaba tan desarrollada ni tan completamente armada. como NKAbuse.

Blockchain utilizado para enmascarar código malicioso

Las redes peer-to-peer se han utilizado anteriormente para distribuir malwareincluido un «gusano de nube» descubierto por la Unidad 42 de Palo Alto Network en julio de 2023, que se cree que es la primera etapa de una investigación más amplia. operación de criptominería.

Y en octubre, se descubrió la campaña ClearFake utilizando tecnología blockchain patentada para ocultar código dañino, distribuyendo malware como RedLine, Amadey y Lumma a través de campañas engañosas de actualización del navegador.

Esa campaña, que utiliza una técnica llamada «EtherHiding», mostró cómo los atacantes están explotando blockchain más allá del robo de criptomonedas, destacando su uso para ocultar diversas actividades maliciosas.

«[The] El uso de la tecnología blockchain garantiza confiabilidad y anonimato, lo que indica el potencial de que esta botnet se expanda constantemente con el tiempo, aparentemente desprovista de un controlador central identificable», señala el informe de Kaspersky.

Actualización de antivirus e implementación de EDR

En particular, el malware no tiene ningún mecanismo de autopropagación en cambio, depende de que alguien aproveche una vulnerabilidad para implementar la infección inicial. En los ataques que Kaspersky observó, por ejemplo, la cadena de ataque comenzó con la explotación de una antigua vulnerabilidad en Apache Struts 2 (CVE-2017-5638, que por cierto es el mismo error utilizado para iniciar el ataque). violación masiva de datos de Equifax en 2017).

Por lo tanto, para evitar ataques dirigidos por parte de actores de amenazas conocidos o desconocidos que utilizan NKAbuse, Kaspersky recomienda a las organizaciones mantener actualizados los sistemas operativos, las aplicaciones y el software program antivirus para abordar las vulnerabilidades conocidas.

Después de un exploit exitoso, el malware se infiltra en los dispositivos de las víctimas ejecutando un script de shell remoto (set up.sh) alojado por los atacantes, que descarga y ejecuta un implante de malware de segunda etapa adaptado a la arquitectura del sistema operativo de destino, almacenado en el directorio /tmp para ejecución.

Como resultado, la empresa de seguridad también recomienda la implementación de soluciones de detección y respuesta de terminales (EDR) para la detección, investigación y pronta solución de incidentes de ciberactividad después de un compromiso.

Share.
Leave A Reply