Una nueva amenaza multiplataforma llamada NKAbuso se ha descubierto utilizando un protocolo de conectividad de red descentralizado de igual a igual conocido como NKN (abreviatura de New Sort of Community) como canal de comunicaciones.
«El malware utiliza la tecnología NKN para el intercambio de datos entre pares, funcionando como un potente implante y equipado con capacidades tanto de inundación como de puerta trasera», dijo la empresa rusa de ciberseguridad Kaspersky en un informe del jueves.
NKN, que tiene más de 62.000 nodos, se describe como una «purple superpuesta de software package construida sobre la World wide web real que permite a los usuarios compartir ancho de banda no utilizado y ganar recompensas simbólicas». Incorpora una capa blockchain encima de la pila TCP/IP existente.
Supere las amenazas impulsadas por la IA con confianza cero: seminario world wide web para profesionales de la seguridad
Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Belief. Proteja sus datos como nunca antes.
Únete ahora
Si bien se sabe que los actores de amenazas aprovechan los protocolos de comunicación emergentes para fines de comando y handle (C2) y evaden la detección, NKAbuse aprovecha la tecnología blockchain para realizar ataques distribuidos de denegación de servicio (DDoS) y funcionar como un implante dentro de los sistemas comprometidos. .
Específicamente, utiliza el protocolo para hablar con el maestro del bot y recibir/enviar comandos. El malware se implementa en el lenguaje de programación Go y la evidencia indica que se utiliza principalmente para identificar sistemas Linux, incluidos dispositivos IoT, en Colombia, México y Vietnam.
Actualmente no se sabe qué tan extendidos están los ataques, pero un caso identificado por Kaspersky implica la explotación de una falla de seguridad crítica de seis años en Apache Struts (CVE-2017-5638, puntuación CVSS: 10.) para violar una empresa financiera anónima. .
A la explotación exitosa le sigue la entrega de un script de shell inicial que es responsable de descargar el implante desde un servidor remoto, no sin antes verificar el sistema operativo del host de destino. El servidor que aloja el malware alberga ocho versiones diferentes de NKAbuse para admitir varias arquitecturas de CPU: i386, arm64, arm, amd64, mips, mipsel, mips64 y mips64el.
Otro aspecto noteworthy es la falta de un mecanismo de autopropagación, lo que significa que el malware debe entregarse a un objetivo mediante otra vía de acceso inicial, como por ejemplo mediante la explotación de fallos de seguridad.
«NKAbuse utiliza trabajos cron para sobrevivir a los reinicios», dijo Kaspersky. «Para lograr eso, necesita ser root. Comprueba que el ID de usuario true sea y, de ser así, procede a analizar el crontab true, agregándose a sí mismo en cada reinicio».
NKAbuse también incorpora una serie de funciones de puerta trasera que le permiten enviar periódicamente un mensaje de latido al bot maestro, que contiene información sobre el sistema, capturar capturas de pantalla de la pantalla precise, realizar operaciones de archivos y ejecutar comandos del sistema.
«Este implante en particular parece haber sido diseñado meticulosamente para su integración en una botnet, pero puede adaptarse para funcionar como puerta trasera en un host específico», dijo Kaspersky. «Además, su uso de la tecnología blockchain garantiza confiabilidad y anonimato, lo que indica el potencial de esta botnet para expandirse constantemente con el tiempo, aparentemente desprovista de un controlador central identificable».
«Nos sorprende ver que NKN se utiliza de esa manera», dijo a The Hacker News Zheng «Bruce» Li, cofundador de NKN. «Construimos NKN para proporcionar una verdadera comunicación entre pares que sea segura, privada, descentralizada y enormemente escalable. Estamos tratando de aprender más sobre el informe para ver si juntos podemos hacer que World-wide-web sea segura y neutral».
