.
Os respondentes de incidentes dizem que encontraram um novo tipo de malware multiplataforma que abusa do protocolo New Kind of Network (NKN).
Apelidado de “NKAbuse” pelos pesquisadores, o backdoor baseado em Go oferece aos invasores criminosos uma gama de possibilidades, incluindo a capacidade de DDoS ou lançar trojans de acesso remoto (RATs), e depende do NKN para uma troca de dados mais anônima, porém confiável.
NKN é um protocolo de código aberto que permite aos usuários realizar uma troca de dados ponto a ponto (P2P) em um blockchain público – como um cruzamento entre um blockchain tradicional e a rede Tor. Mais de 60.000 nós oficiais estão ativos e os algoritmos da rede determinam a rota ideal para troca de dados entre esses nós.
Seu objetivo é fornecer uma alternativa descentralizada aos métodos de troca de dados cliente-servidor, preservando ao mesmo tempo a velocidade e a privacidade. Historicamente, protocolos de rede como o NKN têm sido usados por cibercriminosos para estabelecer infraestrutura de comando e controle (C2) – um meio de anonimizar o tráfego malicioso enviado entre o malware e seu operador.
Pesquisadores da Kaspersky afirmam ter descoberto o NKAbuse enquanto investigavam um incidente em um de seus clientes no setor financeiro. O NKAbuse aparentemente explora uma vulnerabilidade antiga do Apache Struts 2 (CVE-2017-5638) e pode atingir oito arquiteturas diferentes, embora o Linux pareça ser a prioridade.
O incidente viu os invasores usarem uma exploração de prova de conceito (PoC) disponível publicamente para a falha do Struts 2, permitindo executar um script de shell remoto e determinar o sistema operacional da vítima, determinando qual carga útil de segundo estágio está instalada.
Analisando um exemplo de ataque com a versão amd64 (x86-64) do NKAbuse, após ser inicialmente colocado no diretório /tmp, o implante verifica se é a única instância em execução e se move para a raiz do sistema, em seguida, obtém persistência através do uso de cron jobs.
Para maximizar a confiabilidade da conexão com sua operadora via NKN, o malware cria uma nova conta e multicliente na rede para que possa enviar e receber dados de vários clientes ao mesmo tempo.
O NKAbuse vem equipado com 12 tipos diferentes de ataques DDoS, todos associados a botnets conhecidos, diz Kaspersky.
“Embora relativamente raros, novos inundadores e backdoors multiplataforma como o NKAbuse se destacam pela utilização de protocolos de comunicação menos comuns”, dizem os pesquisadores no post.
“Este implante específico parece ter sido meticulosamente elaborado para integração em uma botnet, mas pode se adaptar para funcionar como um backdoor em um host específico. Além disso, seu uso da tecnologia blockchain garante confiabilidade e anonimato, o que indica o potencial desta botnet. expandir de forma constante ao longo do tempo, aparentemente desprovido de um controlador central identificável.”
A funcionalidade RAT do NKAbuse é ampla, com os invasores sendo capazes de fazer coisas como tirar screenshots da área de trabalho da vítima e enviar o arquivo PNG convertido de volta ao operador, além de executar comandos do sistema, remover arquivos e buscar uma lista de arquivos de um diretório especificado. , entre outras tarefas.
Até agora, foram detectados implantes em organizações de vítimas sediadas no México, na Colômbia e no Vietname. ®
.
