卡巴斯基全球应急响应小组(GERT)和全球研究与分析团队(GReAT)发现了一种被称为NKAbuse的新型多平台恶意软件。这种高级威胁是用Go语言开发的,它使用点对点通信,既可作为洪水攻击程序,也可作为后门。
在最近的一次事件响应中,卡巴斯基的专家发现了一种新的恶意软件,该恶意软件利用了NKN技术,这是一种面向区块链的点对点网络协议,以其去中心化和隐私性而闻名。通过卡巴斯基安全网络,我们在哥伦比亚、墨西哥和越南发现了这些攻击潜在的受害者。
NKAbuse 是一种混合植入物,既可以用作后门/RAT,又可以用作洪水攻击程序,使其成为多功能的双重威胁。在发挥后门/RAT 功能时,NKAbuse 允许攻击者未经授权访问受害者的系统,使攻击者能够偷偷执行命令、窃取数据和监控活动。此功能对于间谍活动和数据窃取特别有价值。同时,作为洪水攻击程序,它能够发起破坏性的DDoS攻击,干扰目标服务器或网络,从而严重影响组织的运营。
该恶意软件的高级功能还包括截取屏幕,管理文件,检索系统和网络信息以及执行系统命令。所有收集到的数据都会通过 NKN 网络发送给僵尸网络管理员,并采用分散式通信,以提高隐蔽性和效率。
NKAbuse 的渗透过程首先利用旧的RCE漏洞CVE-2017-5638,从而让攻击者接管受影响的系统。获得控制权后,恶意软件会将植入物下载到受害者的主机上。该植入程序最初放置在临时目录中以供执行。然后,NKAbuse 通过创建一个 cron 作业来建立持久性,并将自己置于主机的home文件夹中,确保其在系统中持续运行。
“植入者使用 NKN 协议凸显了其先进的通信策略,实现了去中心化、匿名操作,并利用 NKN 的区块链功能在受感染节点和 C2 服务器之间进行高效、隐蔽的通信。这种攻击方法使检测和消除威胁变得更加复杂,卡巴斯基GERT团队在识别这种复杂威胁方面做出了卓越的努力,对此我们表示赞赏,”卡巴斯基全球研究与分析团队安全研究员Lisandro Ubiedo说。
选择Go语言进行开发,让该威胁具备了跨平台兼容性,使NKAbuse能够攻击各种操作系统和架构,包括 Linux 桌面和物联网设备。这种编程语言提高了植入程序的性能,特别是在网络应用程序中,确保了高效和并发处理性能。此外,Go语言可生成独立二进制文件,简化了部署并增强了稳健性,使 NKAbuse 成为网络安全威胁领域的强大工具。
所有卡巴斯基产品将NKAbuse识别为HEUR:Backdoor.Linux.NKAbuse.a. GERT 和GReAT的联合发布的报告包括特定的感染迹象,如 MD5 哈希值和恶意软件创建的文件,请参见
为了避免成为已知或未知威胁行为者发动的针对性攻击的受害者,卡巴斯基研究热源推荐实施以下措施:
· 定期更新操作系统、应用程序和反病毒软件,修补任何已知漏洞。
· 为您的 SOC 团队提供对最新威胁情报(TI)的访问。卡巴斯基威胁情报门户网站是卡巴斯基威胁情报的一站式访问点,提供卡巴斯基超过20年来收集的网络攻击数据以及见解。
· 使用由GReAT专家开发的卡巴斯基在线培训课程来提升您的网络安全团队对抗最新针对性威胁的能力。
· 为了实现端点级别的检测、响应和及时的事件修复,请部署EDR解决方案,例如卡巴斯基端点检测和响应。
· 使用卡巴斯基的事件响应和数字取证服务调查安全控制识别的警报和威胁,以获得更深入的见解。