Una nueva amenaza multiplataforma llamada NKAbuso se ha descubierto utilizando un protocolo de conectividad de red descentralizado de igual a igual conocido como NKN (abreviatura de New Kind of Network) como canal de comunicación.
«El malware utiliza tecnología NKN para el intercambio de datos entre pares, funciona como un potente implante y está equipado con capacidades tanto de inundación como de puerta trasera», dijo la empresa rusa de ciberseguridad Kaspersky. dicho en un informe del jueves.
NKN, que tiene más de 62.000 nodos, es descrito como una «red superpuesta de software construida sobre la Internet actual que permite a los usuarios compartir ancho de banda no utilizado y ganar recompensas simbólicas». Incorpora una capa blockchain encima de la pila TCP/IP existente.
Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad
Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes.
Si bien se sabe que los actores de amenazas aprovechan los protocolos de comunicación emergentes para fines de comando y control (C2) y evaden la detección, NKAbuse aprovecha la tecnología blockchain para realizar ataques distribuidos de denegación de servicio (DDoS) y funcionar como un implante dentro de los sistemas comprometidos. .
Específicamente, utiliza el protocolo para hablar con el maestro del bot y recibir/enviar comandos. El malware se implementa en el lenguaje de programación Go y la evidencia indica que se utiliza principalmente para identificar sistemas Linux, incluidos los dispositivos IoT.
Actualmente no se sabe qué tan extendidos están los ataques, pero un caso identificado por Kaspersky implica la explotación de una falla de seguridad crítica de seis años en Apache Struts (CVE-2017-5638, puntuación CVSS: 10.0) para violar una empresa financiera anónima. .
A la explotación exitosa le sigue la entrega de un script de shell inicial que es responsable de descargar el implante desde un servidor remoto, no sin antes verificar el sistema operativo del host de destino. El servidor que aloja el malware alberga ocho versiones diferentes de NKAbuse para admitir varias arquitecturas de CPU: i386, arm64, arm, amd64, mips, mipsel, mips64 y mips64el.
Otro aspecto notable es la falta de un mecanismo de autopropagación, lo que significa que el malware debe entregarse a un objetivo mediante otra vía de acceso inicial, como por ejemplo mediante la explotación de fallas de seguridad.
«NKAbuse utiliza trabajos cron para sobrevivir a los reinicios», dijo Kaspersky. «Para lograr eso, necesita ser root. Comprueba que el ID de usuario actual sea 0 y, de ser así, procede a analizar el crontab actual, agregándose a sí mismo en cada reinicio».
NKAbuse también incorpora una serie de funciones de puerta trasera que le permiten enviar periódicamente un mensaje de latido al bot maestro, que contiene información sobre el sistema, capturar capturas de pantalla de la pantalla actual, realizar operaciones de archivos y ejecutar comandos del sistema.
«Este implante en particular parece haber sido diseñado meticulosamente para su integración en una botnet, pero puede adaptarse para funcionar como puerta trasera en un host específico», dijo Kaspersky. «Además, su uso de la tecnología blockchain garantiza confiabilidad y anonimato, lo que indica el potencial de esta botnet para expandirse constantemente con el tiempo, aparentemente desprovista de un controlador central identificable».