Het Global Emergency Response Team (GERT) en het Global Research and Analysis Team (GReAT) van Kaspersky hebben een nieuwe vorm van multi-platform malware ontdekt. NKAbuse is een geavanceerde bedreiging, ontwikkeld in Go, die peer-to-peer communicatie gebruikt en als flooder en als backdoor kan functioneren.
Kaspersky-experts ontdekten deze malware op basis van NKN-technologie bij een recent incident. NKN is een peer-to-peer, blockchain-georiënteerd netwerkprotocol gericht op decentralisatie en privacy. Het Kaspersky Security Network identificeerde potentiële slachtoffers van de aanval in Colombia, Mexico en Vietnam.
NKAbuse is een veelzijdige bedreiging omdat het een hybride implantaat is dat als backdoor/RAT en als flooder functioneert. Als backdoor/RAT biedt NKAbuse aanvallers ongeautoriseerde toegang tot systemen van slachtoffers. Hierdoor kunnen ze ongemerkt opdrachten uitvoeren, gegevens stelen en activiteiten monitoren. Deze bedreiging wordt vooral ingezet voor spionage en diefstal van gegevens. Als flooder kan NKAbuse schadelijke DDoS-aanvallen uitvoeren en servers of netwerken van organisaties verstoren.
De slimme malware is in staat schermafbeeldingen te maken, bestanden te beheren, systeem- en netwerkinformatie op te halen en systeemopdrachten uit te voeren. De verzamelde gegevens worden vervolgens via het NKN-netwerk naar de botmaster gestuurd. Met de gedecentraliseerde communicatie gebeurt dit zeer efficiënt en onopgemerkt.
NKAbuse benut de oude RCE-kwetsbaarheid CVE-2017-5638 voor de infiltratie, waardoor aanvallers de getroffen systemen kunnen overnemen. Als de malware de controle heeft overgenomen, downloadt deze software op de host van het slachtoffer en zet deze in een tijdelijke map. Vervolgens maakt NKAbuse een cron job aan en plaatst het zichzelf in de thuismap van de host. Het resultaat hiervan is dat de malware dan voortdurend actief blijft binnen het systeem.
“Het misbruik van het NKN-protocol onderstreept de kracht van een geavanceerde communicatiesstrategie, die gedecentraliseerde, anonieme operaties mogelijk maakt en blockchainfuncties van NKN benut. Dit is de basis voor efficiënte, onzichtbare communicatie tussen geïnfecteerde nodes en C2-servers. Deze aanpak maakt het lastig de malware op te sporen en uit te schakelen", zegt Lisandro Ubiedo, beveiligingsonderzoeker bij Kaspersky's GReAT.
De keuze voor Go ondersteunt een cross-platform aanpak, waardoor NKAbuse zich kan richten op verschillende besturingssystemen en architecturen, zoals Linux desktops en IoT-apparatuur. Vooral in netwerkapplicaties versterkt deze programmeertaal de kracht van deze malware. Bovendien is het met Go eenvoudiger zelfstandige binaries op te zetten die de malware robuuster maken. Dit alles maakt NKAbuse een geduchte tool bij cybersecurity-aanvallen.
Alle Kaspersky-producten detecteren NKAbuse als HEUR:Backdoor.Linux.NKAbuse.a . Het rapport van GERT en GReAT biedt specifieke kenmerken voor aangevallen systemen, zoals MD5-hashes en bestanden die de malware maakt en is beschikbaar via Securelist.com.