La porte arrière NKabuse utilise la blockchain pour cibler plusieurs architectures.

Les intervenants en cas d’incident ont déclaré avoir trouvé un nouveau type de malware multiplateforme abusant du protocole New Kind of Network (NKN). Appelé « NKAbuse » par les chercheurs, le porte-arrière Go offre aux attaquants criminels une gamme de possibilités, notamment la possibilité de lancer des attaques DDoS ou de lancer des trojans d’accès à distance (RAT), et se repose sur NKN pour un échange de données plus anonyme mais plus fiable. NKN est un protocole open source qui permet aux utilisateurs d’effectuer un échange de données en peer-to-peer (P2P) sur une chaîne de blocs publique, comme un cross entre une chaîne de blocs traditionnelle et le réseau Tor. Plus de 60 000 nœuds officiels sont actifs et les algorithmes du réseau déterminent le trajet optimal pour l’échange de données entre ces nœuds. Il vise à fournir une alternative décentralisée aux méthodes de communication client-serveur des données tout en préservant la vitesse et la confidentialité. Historiquement, les protocoles de réseau tels que NKN ont été utilisés par les cybercriminels pour établir une infrastructure de commande et de contrôle (C2) – un moyen d’anonymiser le trafic malveillant envoyé entre le malware et son opérateur. Les chercheurs de Kaspersky ont découvert NKAbuse lors d’une enquête sur un incident survenu chez l’un de ses clients du secteur financier. NKAbuse exploiterait une ancienne vulnérabilité Apache Struts 2 (CVE-2017-5638) et pourrait cibler huit architectures différentes, bien que Linux semble être la priorité.

Share the Post: