Une nouvelle menace multiplateforme appelée NKAbus a été découvert à l’aide d’un protocole de connectivité réseau peer-to-peer décentralisé appelé NKN (abréviation de New Kind of Network) comme canal de communication.
« Le malware utilise la technologie NKN pour l’échange de données entre pairs, fonctionnant comme un implant puissant et équipé à la fois de capacités d’inondation et de porte dérobée », a déclaré la société russe de cybersécurité Kaspersky. dit dans un rapport de jeudi.
NKN, qui compte plus de 62 000 nœuds, est décrit en tant que « réseau superposé logiciel construit sur l’Internet actuel qui permet aux utilisateurs de partager la bande passante inutilisée et de gagner des récompenses symboliques ». Il intègre une couche blockchain au-dessus de la pile TCP/IP existante.
Battez les menaces basées sur l’IA avec Zero Trust – Webinaire pour les professionnels de la sécurité
Les mesures de sécurité traditionnelles ne suffiront pas dans le monde d’aujourd’hui. L’heure est à la sécurité Zero Trust. Sécurisez vos données comme jamais auparavant.
Alors que les auteurs de menaces sont connus pour tirer parti des protocoles de communication émergents à des fins de commandement et de contrôle (C2) et échapper à la détection, NKAbuse exploite la technologie blockchain pour mener des attaques par déni de service distribué (DDoS) et fonctionne comme un implant à l’intérieur des systèmes compromis. .
Plus précisément, il utilise le protocole pour parler au maître du bot et recevoir/envoyer des commandes. Le malware est implémenté dans le langage de programmation Go et des preuves indiquent qu’il est principalement utilisé pour identifier les systèmes Linux, y compris les appareils IoT.
On ne sait pas actuellement quelle est l’ampleur de ces attaques, mais un cas identifié par Kaspersky implique l’exploitation d’une faille de sécurité critique vieille de six ans dans Apache Struts (CVE-2017-5638, score CVSS : 10,0) pour pirater une société financière anonyme. .
Une exploitation réussie est suivie de la livraison d’un script shell initial chargé de télécharger l’implant depuis un serveur distant, mais pas avant de vérifier le système d’exploitation de l’hôte cible. Le serveur hébergeant le malware héberge huit versions différentes de NKAbuse pour prendre en charge diverses architectures de processeur : i386, arm64, arm, amd64, mips, mipsel, mips64 et mips64el.
Un autre aspect notable est l’absence de mécanisme d’auto-propagation, ce qui signifie que le malware doit être transmis à une cible par une autre voie d’accès initiale, par exemple via l’exploitation de failles de sécurité.
« NKAbuse utilise des tâches cron pour survivre aux redémarrages », a déclaré Kaspersky. « Pour y parvenir, il doit être root. Il vérifie que l’ID utilisateur actuel est 0 et, si c’est le cas, procède à l’analyse de la crontab actuelle, en s’ajoutant à chaque redémarrage. »
NKAbuse intègre également une multitude de fonctionnalités de porte dérobée qui lui permettent d’envoyer périodiquement un message de battement de cœur au maître du robot, qui contient des informations sur le système, de capturer des captures d’écran de l’écran actuel, d’effectuer des opérations sur les fichiers et d’exécuter des commandes système.
« Cet implant particulier semble avoir été méticuleusement conçu pour être intégré dans un botnet, mais il peut s’adapter pour fonctionner comme une porte dérobée dans un hôte spécifique », a déclaré Kaspersky. « De plus, son utilisation de la technologie blockchain garantit à la fois la fiabilité et l’anonymat, ce qui indique le potentiel de ce botnet de se développer régulièrement au fil du temps, apparemment dépourvu d’un contrôleur central identifiable. »
« Nous sommes surpris de voir NKN utilisé de cette manière », a déclaré Zheng « Bruce » Li, co-fondateur de NKN, à The Hacker News. « Nous avons construit NKN pour fournir une véritable communication peer-to-peer sécurisée, privée, décentralisée et massivement évolutive. Nous essayons d’en apprendre davantage sur le rapport pour voir si ensemble nous pouvons rendre Internet sûr et neutre. »
« Nous sommes surpris de voir NKN utilisé de cette manière », a déclaré Zheng « Bruce » Li, co-fondateur de NKN, à The Hacker News. « Nous avons construit NKN pour fournir une véritable communication peer-to-peer sécurisée, privée, décentralisée et massivement évolutive. Nous essayons d’en apprendre davantage sur le rapport pour voir si ensemble nous pouvons rendre Internet sûr et neutre. »