Исследователи из Лаборатории Касперского обнаружили новое уникальное многоплатформенное вредоносное ПО на базе Go под названием NKAbuse с возможностью скрытого обмена данными посредством New Kind of Network.
NKN — это относительно новый децентрализованный одноранговый сетевой протокол на базе технологии блокчейна для управления ресурсами, поддержания безопасной и прозрачной модели сетевых операций.
NKN эффективно оптимизирует скорость передачи данных по сети, реализуя разнообразные наиболее эффективные алгоритмы маршрутизации данных.
По аналогии с Tor, NKN включает узлы, число которых к настоящему времени достигает до 61 тысячи, обеспечивая децентрализацию и конфиденциальность.
Как сообщают исследователи, NKAbuse, в первую очередь, нацелено на настольные ПК на базе Linux в Мексике, Колумбии и Вьетнаме. Однако, учитывая его способность заражать системы MISP и ARM, он также представляет угрозу для устройств IoT.
Одно из наблюдаемых заражений NKAbuse было реализовано в ходе атаки на финансовую компанию с использованием старой 10-ти бальной уязвимости Apache Struts (CVE-2017-5638).
Кроме того, NKAbuse способно злоупотреблять NKN для проведения DDoS-атак, которые достаточно сложно отследить, не говоря уже об идентификации конкретной задействованной инфраструктуры, ведь новый протокол практически вне поля зрения большинства решений безопасности.
Злоумышленники используют преимущества нового протокола связи для C2, эффективно уклоняясь от обнаружения. В частности, клиент вредоносного ПО связывается с мастером бота через NKN для отправки и получения данных.
Среди команды полезной нагрузки, отправляемые C2, — атаки HTTP, TCP, UDP, PING, ICMP и SSL-флуд.
В дополнение к возможностям DDoS, NKAbuse также действует как RAT в скомпрометированных системах, позволяя своим операторам выполнять команды, кража данных и делать снимки экрана.
Вредоносное ПО обычно устанавливается на устройство жертвы путем выполнения удаленного сценария оболочки.
Примечательным аспектом является отсутствие механизма самораспространения, а персистентность достигается за счет использования заданий cron.
По мнению ЛК, исследуемый имплантат был тщательно разработан для интеграции в ботнет, однако он может быть адаптирован к работе в качестве бэкдора на конкретном хосте.
При этом использование технологии блокчейна обеспечивает высокую надежность и анонимность, что указывает на внушительный потенциал будущего развития ботнета, фактически действующего без идентифицируемого центрального контроллера, что делает защиту от этой угрозы весьма проблематичной.
С заботой о вашей безопасности, команда Origin Security
