NKAbuse adı verilen gelişmiş ve çok yönlü bir kötü amaçlı yazılımın hem bir sel hem de arka kapı olarak çalıştığı ve Kolombiya, Meksika ve Vietnam’daki Linux masaüstü bilgisayarlarını hedef aldığı keşfedildi.
Kaspersky’nin bu hafta yayınladığı bir rapora göre Go’da yazılan bu platformlar arası tehdit, NKN blockchain odaklı eşler arası ağ protokolünü kullanıyor. NKAbuse, Linux sistemlerinin yanı sıra MISP ve ARM gibi Linux’tan türetilmiş mimarilere de bulaşabilir; bu da Nesnelerin İnterneti (IoT) cihazlarını da riske sokar.
Merkezi olmayan NKN ağı 60.000’den fazla resmi düğüme ev sahipliği yapar ve belirli bir yükün hedefine doğru en verimli düğüm yolunu belirleyerek veri aktarımını kolaylaştırmak için çeşitli yönlendirme algoritmaları kullanır.
Benzersiz Çok Araçlı Kötü Amaçlı Yazılım Yaklaşımı
Kaspersky güvenlik araştırmacısı Lisandro Ubiedo, bu kötü amaçlı yazılımı benzersiz kılan şeyin, benzerlerinden veri alıp göndermek için NKN teknolojisinin kullanılması ve farklı sistem türlerini etkileyebilecek farklı mimariler oluşturmak için Go’yu kullanması olduğunu açıklıyor. .
Komutlarının çoğu kalıcılık, komut yürütme ve bilgi toplamaya odaklanarak, yetkisiz erişime izin veren bir arka kapı görevi görür. Kötü amaçlı yazılım, örneğin ekran sınırlarını tanımlayarak ekran görüntüleri yakalayabilir, bunları PNG’ye dönüştürebilir ve bot yöneticisine iletebilir. Kaspersky’nin NKAbuse’a yönelik kötü amaçlı yazılım analizi.
Aynı zamanda, hedeflenen sunucuları ve ağları bozabilecek yıkıcı dağıtılmış hizmet reddi (DDoS) saldırıları başlatarak, kurumsal operasyonları önemli ölçüde etkileme riski taşıyan bir akıncı görevi görür.
Ubiedo, “Bu, örneğin HTTP, DNS veya TCP gibi birden fazla protokolü kullanarak aynı anda bir hedefe saldırabilen ve aynı zamanda bir saldırganın sistemi kontrol etmesine ve sistemden bilgi almasına olanak tanıyan, taşma ve arka kapı özelliklerine sahip güçlü bir Linux implantıdır” diyor. . “Hepsi aynı implantta.”
İmplant ayrıca bot yöneticisi ile düzenli iletişim kurmak ve PID, IP adresi, bellek ve konfigürasyon gibi verileri virüslü ana bilgisayarda depolamak için bir “Kalp Atışı” yapısını da içeriyor.
Kendisi, bu kötü amaçlı yazılımın yaygın olarak kullanıma sunulmasından önce, NKN’nin bir uzaktan yönetim aracı olarak kullanılma olasılığını araştıran NGLite adında bir kavram kanıtlama (PoC) bulunduğunu, ancak bu kadar kapsamlı bir şekilde geliştirilmediğini ve tam olarak silahlandırılmadığını ekliyor. NKAbuse olarak.
Kötü Amaçlı Kodu Maskelemek İçin Blockchain Kullanılıyor
Eşler arası ağlar daha önce kullanılmıştı kötü amaçlı yazılım dağıtmakTemmuz 2023’te Palo Alto Network’ün Birim 42’si tarafından keşfedilen bir “bulut solucanı” da dahil olmak üzere, daha geniş bir sürecin ilk aşaması olduğu düşünülüyor. kripto madenciliği operasyonu.
Ve Ekim ayında ClearFake kampanyasının şunu kullandığı keşfedildi: tescilli blockchain teknolojisi zararlı kodları gizlemek, yanıltıcı tarayıcı güncelleme kampanyaları aracılığıyla RedLine, Amadey ve Lumma gibi kötü amaçlı yazılımları dağıtmak.
“EtherHiding” adı verilen bir tekniğin kullanıldığı bu kampanya, saldırganların blockchain’i kripto para hırsızlığının ötesinde nasıl kullandığını ortaya koydu ve bunun çeşitli kötü niyetli etkinlikleri gizlemek için kullanıldığını vurguladı.
“[The] Kaspersky raporunda, blockchain teknolojisinin kullanılmasının hem güvenilirliği hem de anonimliği sağladığı, bu da bu botnet’in zaman içinde istikrarlı bir şekilde genişleme potansiyeline işaret ettiği ve görünürde tanımlanabilir bir merkezi denetleyiciden yoksun olduğu belirtiliyor.
Antivirüsün Güncellenmesi ve EDR’nin Dağıtılması
Özellikle, kötü amaçlı yazılımın kendi kendine yayılma mekanizması yoktur; bunun yerine, ilk bulaşmayı dağıtmak için birinin bir güvenlik açığından yararlanmasına dayanır. Örneğin Kaspersky’nin gözlemlediği saldırılarda saldırı zinciri, Apache Struts 2’deki eski bir güvenlik açığının (CVE-2017-5638) kullanılmasıyla başladı; bu da tesadüfen, Apache Struts 2’yi başlatmak için kullanılan hatanın aynısıdır. 2017’de büyük Equifax veri ihlali).
Bu nedenle Kaspersky, NKAbuse kullanan bilinen veya bilinmeyen tehdit aktörlerinin hedefli saldırılarını önlemek için kuruluşlara işletim sistemlerini, uygulamalarını ve antivirüs yazılımlarını bilinen güvenlik açıklarını giderecek şekilde güncel tutmalarını tavsiye ediyor.
Başarılı bir istismarın ardından, kötü amaçlı yazılım, saldırganlar tarafından barındırılan bir uzak kabuk komut dosyasını (setup.sh) çalıştırarak kurban cihazlarına sızar; bu komut dosyası, hedef işletim sistemi mimarisine göre uyarlanmış, /tmp dizininde saklanan ikinci aşama bir kötü amaçlı yazılım implantasyonunu indirir ve çalıştırır. uygulamak.
Sonuç olarak güvenlik firması ayrıca, güvenlik ihlali sonrası siber aktivite tespiti, soruşturması ve olayların anında iyileştirilmesi için uç nokta tespit ve müdahale (EDR) çözümlerinin konuşlandırılmasını da öneriyor.