Durante la respuesta a un incidente reciente, los expertos de Kaspersky descubrieron un nuevo malware que explota la tecnología NKN, un protocolo de red peer-to-peer (orientado a blockchain), conocido por su descentralización y privacidad. Kaspersky Security Network ha identificado víctimas potenciales de este ataque en Colombia, México y Vietnam.

NKAbuse es un implante híbrido que sirve como puerta trasera/RAT y flooder, lo que lo convierte en una doble y versátil amenaza. En su función de puerta trasera/RAT, NKAbuse proporciona a los atacantes acceso no autorizado a los sistemas de las víctimas, lo que les permite ejecutar comandos de forma encubierta, robar datos y monitorear actividades. Esta capacidad es especialmente valiosa para el espionaje y la filtración de datos. Al mismo tiempo, como flooder, es capaz de lanzar ataques DDoS destructivos, abrumando e interrumpiendo servidores o redes específicas, impactando significativamente en las operaciones de las organizaciones.

Las funciones avanzadas del malware se extienden a la captura de pantallas, la administración de archivos, la recuperación de información del sistema y de la red, así como la ejecución de comandos del sistema. Todos los datos recopilados se envían a su botmaster (el atacante que controla el malware) a través de la red NKN, utilizando la comunicación descentralizada para lograr un ataque sigiloso y eficiente.

El proceso de infiltración de NKAbuse comienza explotando la antigua vulnerabilidad RCE CVE-2017-5638, permitiendo a los atacantes obtener el control de los sistemas afectados. Una vez que lo tienen, el malware descarga un implante en el host de la víctima. Este implante se coloca inicialmente en el directorio temporal para su ejecución. NKAbuse establece entonces la persistencia mediante la creación de una tarea cron y se sitúa dentro de la carpeta de inicio del host, asegurando su funcionamiento continuo dentro del sistema.

“El uso del protocolo NKN por parte del implante subraya su avanzada estrategia de comunicación, permitiendo operaciones descentralizadas y anónimas, además de aprovechar las características de blockchain de NKN para una comunicación eficiente y sigilosa entre los nodos infectados y los servidores C2. Este enfoque complica los esfuerzos de detección y mitigación. Me gustaría elogiar al equipo de Kaspersky GERT por su excepcional esfuerzo en la identificación de esta sofisticada amenaza”, afirma Lisandro Ubiedo, investigador de seguridad del Equipo Global de Análisis e Investigación de Kaspersky.

La elección de Go permite la compatibilidad multiplataforma, lo que facilita a NKAbuse dirigirse a varios sistemas operativos y arquitecturas, incluidos los Linux de escritorio y los dispositivos IoT. Este lenguaje de programación mejora el rendimiento del implante, particularmente en aplicaciones en red, garantizando un procesamiento eficiente y concurrente. Además, la capacidad de Go para producir binarios autónomos simplifica la implementación y mejora la robustez, haciendo de NKAbuse una herramienta formidable en el ámbito de las amenazas de ciberseguridad.

Para evitar ser víctima de un ataque dirigido por parte de un actor de amenazas conocido o desconocido, los investigadores de Kaspersky recomiendan:

• Actualizar con regularidad los sistemas operativos, aplicaciones y software antivirus de todos los dispositivos que se utilicen para corregir cualquier vulnerabilidad conocida.
• Proporcionar a su equipo SOC acceso a la inteligencia de amenazas (TI) más reciente. El Portal de Inteligencia de Amenazas de Kaspersky es un punto de acceso único a la TI de la compañía, que proporciona datos de ciberataques e información recopilada por Kaspersky durante más de 20 años.
• Capacitar a su equipo de ciberseguridad para hacer frente a las últimas amenazas dirigidas con la formación en línea de Kaspersky, desarrollada por expertos de GReAT.
• Para la detección, investigación y reparación oportuna de incidentes a nivel de endpoints, implementar soluciones EDR como Kaspersky Endpoint Detection and Response.
• Investigar las alertas y amenazas identificadas por los controles de seguridad con los servicios de Kaspersky Incident Response y su análisis forense digital para obtener información más detallada.

Todos los productos de Kaspersky detectan NKAbuse como HEUR:Backdoor.Linux.NKAbuse.a.

El informe conjunto de GERT y GReAT, que incluye indicadores específicos de compromiso como hashes MD5 y archivos creados por el malware, está disponible en Securelist.com.