Un nouveau malware multiplateforme basé sur Go identifié comme « NKAbuse » est le premier malware à abuser de la technologie NON (Nouveau Type de réseau) pour l’échange de données, ce qui en fait une menace furtive.

NKN est un protocole de réseau peer-to-peer décentralisé relativement nouveau exploitant la technologie blockchain pour gérer les ressources et maintenir un modèle sécurisé et transparent pour les opérations du réseau.

L’un des objectifs de NKN est d’optimiser la vitesse de transmission des données et la latence sur le réseau, ce qui est réalisable en calculant des chemins de déplacement de paquets de données efficaces.

Les individus peuvent participer au réseau NKN en exécutant des nœuds, similaires au réseau Tor,et actuellement, il y a environ 60 710 nœuds.

Ce nombre relativement important de nœuds contribue à la robustesse, à la décentralisation et à la capacité de gérer des volumes de données considérablement élevés.

Déplacer des données via NKN

Détails inutiles
Kaspersky rapporte la découverte d’un nouveau malware nommé NKAbuse, qui cible principalement les ordinateurs de bureau Linux au Mexique, en Colombie et au Vietnam.

Une infection NKAbuse repérée par Kaspersky implique l’exploitation d’une ancienne faille Apache Struts (CVE-2017-5638) pour attaquer une société financière.

Bien que la plupart des attaques ciblent les ordinateurs Linux, le malware peut compromettre les IOT et prend en charge les architectures MIPS, ARM et 386.

NKAbuse abuse de NKN pour lancer des attaques DDoS (déni de service distribué) difficiles à remonter à une infrastructure spécifique et peu susceptibles d’être signalées car elles proviennent d’un nouveau protocole non surveillé activement par la plupart des outils de sécurité.

« Cette menace (ab)utilise le protocole de blockchain public NKN pour mener un grand nombre d’attaques par inondation et agir comme une porte dérobée à l’intérieur des systèmes Linux. »explique Kaspersky

Plus précisément, le client malveillant communique avec le maître du bot via NKN pour envoyer et recevoir des données. Dans le même temps, sa capacité à maintenir en vie plusieurs canaux simultanés confère une résilience à sa ligne de communication.

Les commandes de charge utile envoyées par le C2 incluent des attaques HTTP, TCP, UDP, PING, ICMP et SSL flood visant une cible spécifiée.

Commandes d’attaque DDoS

« Toutes ces charges utiles ont historiquement été utilisées par les botnets, donc, lorsqu’elles sont combinées avec le NKN comme protocole de communication, le malware peut attendre de manière asynchrone que le maître lance une attaque combinée », explique Kaspersky.

En plus des capacités DDoS, NKAbuse agit également comme un cheval de Troie d’accès à distance (RAT) sur les systèmes compromis, permettant à ses opérateurs d’exécuter des commandes, d’exfiltrer des données et de prendre des captures d’écran.

Fonctionnalité de capture d’écran

Cette pléthore de fonctionnalités qui rendent NKAbuse très polyvalent et adaptatif n’est pas typique dans l’espace des botnets DDoS.

De plus, l’utilisation de la technologie blockchain qui garantit la disponibilité et masque la source des attaques rend la défense contre cette menace très difficile.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *