Cybersicherheitsforscher des Global Emergency Response Team (GERT) von Kaspersky haben festgestellt, dass die NKAbuse-Malware aktiv auf Geräte in Kolumbien, Mexiko und Vietnam abzielt.
Das Global Emergency Response Team (GERT) von Kaspersky hat eine neue Multiplattform-Malware-Bedrohung entdeckt, die innovative Taktiken nutzt, um Opfer zu kapern. Die Malware mit dem Namen NKAbuse nutzt die New Kind of Network (NKN)-Technologie, ein Blockchain-basiertes Peer-to-Peer-Netzwerkprotokoll, um ihre Infektion zu verbreiten.
NKAbuse ist eine Go-basierte Hintertür, die als Botnetz für Linux-Desktops und potenzielle IoT-Geräte verwendet wird. Die Malware ermöglicht es Angreifern, DDoS-Angriffe (Distributed Denial of Service) zu starten oder Remote Access Trojaner (RATs) einzuschleusen.
Es ist erwähnenswert, dass die Hintertür für den anonymen und dennoch zuverlässigen Datenaustausch auf NKN angewiesen ist. Zu Ihrer Information: NKN ist ein Open-Source-Protokoll, das den Peer-to-Peer-Datenaustausch über eine öffentliche Blockchain mit über 60.000 aktiven Knoten ermöglicht. Ziel ist es, eine dezentrale Alternative zu Client-zu-Server-Methoden bereitzustellen und gleichzeitig Geschwindigkeit und Datenschutz zu wahren.
Das Botnetz kann Flooding-Angriffe über die 60.000 offiziellen Knoten ausführen und stellt eine Verbindung zu seinen C2-Servern (Command & Control) her. Es verfügt über ein umfangreiches Arsenal an DDoS-Angriffen und mehrere Funktionen, um es in eine leistungsstarke Hintertür oder RAT zu verwandeln.
Das Malware-Implantat erstellt eine Struktur namens „Heartbeat“, die regelmäßig mit dem Bot-Master kommuniziert. Es speichert Informationen über den infizierten Host, einschließlich der PID, IP-Adresse, des freien Speichers und der aktuellen Konfiguration des Opfers.
Forscher von Kaspersky entdeckten NKAbuse, als sie einen Vorfall untersuchten, der sich gegen einen seiner Kunden im Finanzsektor richtete. Weitere Untersuchungen ergaben, dass NKAbuse eine alte Schwachstelle in Apache Struts 2 ausnutzt (verfolgt als CVE-2017-5638).
Die von Hackread.com im Dezember 2017 gemeldete Sicherheitslücke ermöglicht es Angreifern, mithilfe eines „Shell“-Headers und Bash Befehle auf dem Server auszuführen und dann einen Befehl auszuführen, um das ursprüngliche Skript herunterzuladen.
NKAbuse nutzt das NKN-Protokoll, um mit dem Bot-Master zu kommunizieren und Informationen zu senden/empfangen. Es erstellt ein neues Konto und einen Multiclient, um gleichzeitig Daten von mehreren Clients zu senden/empfangen.
Das NKN-Konto wird mit einer 64-stelligen Zeichenfolge initialisiert, die den öffentlichen Schlüssel und die Remote-Adresse darstellt. Sobald der Client eingerichtet ist, richtet die Malware einen Handler zur Annahme eingehender Nachrichten ein, der 42 Fälle enthält, von denen jeder basierend auf dem gesendeten Code unterschiedliche Aktionen ausführt.
Forscher beobachteten, dass Angreifer die Schwachstelle von Struts 2 mithilfe eines öffentlich zugänglichen Proof-of-Concept-Exploits ausnutzten. Sie führten ein Remote-Shell-Skript aus, ermittelten das Betriebssystem des Opfers und installierten eine Nutzlast der zweiten Stufe. Mit der amd64-Version von NKAbuse erreichte der Angriff durch Cron-Jobs Persistenz.
„Dieses spezielle Implantat scheint sorgfältig für die Integration in ein Botnetz entwickelt worden zu sein, kann sich jedoch an die Funktion als Hintertür in einem bestimmten Host anpassen und die Verwendung der Blockchain-Technologie gewährleistet sowohl Zuverlässigkeit als auch Anonymität, was auf das Potenzial für eine Erweiterung dieses Botnetzes hinweist.“ im Laufe der Zeit stetig, scheinbar ohne einen identifizierbaren zentralen Controller.“
Kasperskys Global Emergency Response Team (GERT)
NKAbuse verfügt über keine Selbstverbreitungsfunktion und kann auf mindestens acht verschiedene Architekturen abzielen, wobei Linux die Priorität hat. Eine erfolgreiche Implantation kann zu Datenkompromittierung, Datendiebstahl, Fernverwaltung, Persistenz und DDoS-Angriffen führen.
Derzeit konzentrieren sich die Betreiber auf die Infektion von Geräten in Kolumbien, Mexiko und Vietnam. Allerdings vermuten Forscher, dass es im Laufe der Zeit zu einer Ausweitung kommen könnte.
IN VERBINDUNG STEHENDE ARTIKEL
- Kostenloser Download Manager Site Pushed Linux Password Stealer
- Neues mit XorDdos verknüpftes Linux-RAT Krasue für Telekommunikationsunternehmen
- Hamas-Hacker greifen Israelis mit neuer BiBi-Linux Wiper-Malware an
- Kinsing-Krypto-Malware gelangt über Apache ActiveMQ-Fehler auf Linux-Systeme
- Die Linux-Sicherheitslücke in Looney Tunables setzt Millionen von Systemen Angriffen aus