ภัยคุกคามหลายแพลตฟอร์มรูปแบบใหม่ที่เรียกว่า NKAbuse ได้ถูกค้นพบโดยอาศัยช่องทางการสื่อสารผ่านเครือข่ายแบบ peer-to-peer ที่ไม่ต้องผ่านศูนย์กลาง(decentralized) ที่ชื่อว่า NKN (New Kind of Network) เป็นตัวกลาง

“มัลแวร์ใช้เทคโนโลยี NKN สำหรับการแลกเปลี่ยนข้อมูล โดยทำหน้าที่เป็นตัวฝังและติดตั้งทั้งความสามารถแบบ Flooder และ Backdoor” ใช้ประโยชน์จากช่องโหว่ของโปรโตคอลการสื่อสารที่เกิดขึ้นใหม่เพื่อวัตถุประสงค์ในการสั่งการและควบคุม (C2) และหลบเลี่ยงการตรวจจับ NKAbuse ใช้ประโยชน์จากเทคโนโลยี Blockchain เพื่อดำเนินการโจมตีแบบปฏิเสธการให้บริการ (DDoS) แบบกระจายและทำหน้าที่เป็นตัวฝังภายในระบบที่ถูกบุกรุก โดยเฉพาะอย่างยิ่ง NKAbuse ใช้โปรโตคอล NKN ในการติดต่อกับผู้ควบคุม botnet (bot master) และรับ/ส่งคำสั่ง มัลแวร์ตัวนี้เขียนด้วยภาษาโปรแกรม Go และหลักฐานชี้ว่ามันถูกใช้โจมตีระบบ Linux เป็นหลัก รวมถึงอุปกรณ์ IoT

ยังไม่เป็นที่แน่ชัดว่าการโจมตีด้วย NKAbuse แพร่กระจายเพียงใด แต่ "Kaspersky" ระบุกรณีหนึ่งที่ใช้ช่องโหว่ความปลอดภัยร้ายแรงใน Apache Struts (CVE-2017-5638, คะแนน CVSS: 10.0) ซึ่งมีมานานถึง 6 ปี เพื่อเจาะเข้าบริษัทการเงินแห่งหนึ่งที่ยังไม่เปิดเผยชื่อ

หลังจากเจาะระบบสำเร็จ NKAbuse จะส่ง shell script เพื่อดาวน์โหลดตัวมัลแวร์หลักจากเซิร์ฟเวอร์ระยะไกล แต่ก่อนที่จะทำเช่นนั้น สคริปต์จะตรวจสอบระบบปฏิบัติการของเป้าหมายก่อน เซิร์ฟเวอร์ที่เก็บมัลแวร์มี NKAbuse ถึง 8 เวอร์ชัน เพื่อรองรับสถาปัตยกรรม CPU ต่างๆ ดังนี้: i386, arm64, arm, amd64, mips, mipsel, mips64, และ mips64el"

NKAbuse ใช้ cron jobs เพื่อให้ตัวเองอยู่รอดหลังจากรีบูต เพื่อให้บรรลุเป้าหมายนั้น NKAbuse ต้องเป็นผู้ใช้ root (สิทธิ์ผู้ดูแลระบบ) มันจะตรวจสอบว่า user ID ปัจจุบันคือ 0 หรือไม่ และถ้าใช่ มันจะดำเนินการเพิ่มตัวเองลงใน crontab เพื่อให้ทำงานหลังจากรีบูตทุกครั้ง

NKAbuse ยังแอบซ่อนฟังก์ชัน backdoor มากมาย ที่ช่วยให้ส่งข้อความแจ้งสถานะ (heartbeat) ไปยังผู้ควบคุม bot (bot master) เป็นระยะ โดยจะประกอบด้วยข้อมูลต่างๆ เกี่ยวกับระบบ  เช่น

• จับภาพหน้าจอ: ถ่ายภาพหน้าจอของผู้ใช้ในขณะนั้น
• ดำเนินการกับไฟล์: สามารถคัดลอก ลบ หรือแก้ไขไฟล์ต่างๆ ในระบบของผู้ใช้
• เรียกใช้คำสั่งระบบ: สามารถสั่งให้ระบบปฏิบัติงานต่างๆ ได้

มัลแวร์ตัวนี้ได้รับการออกแบบมาอย่างพิถีพิถันเพื่อรวมเข้ากับ botnet แต่ยังสามารถปรับตัวให้ทำงานเป็น Backdoorร์ ในเครื่องเฉพาะได้อีกด้วย ยิ่งไปกว่านั้น การใช้เทคโนโลยี Blockchain ทำให้มีความน่าเชื่อถือและไม่เปิดเผยตัวตน ซึ่งบ่งบอกถึงศักยภาพของ botnet นี้ที่จะขยายตัวอย่างต่อเนื่องโดยไม่มีผู้ควบคุมศูนย์กลางที่สามารถระบุตัวตนได้

ผลกระทบ:

• NKAbuse เป็นภัยคุกคามร้ายแรงต่อระบบคอมพิวเตอร์ โทรศัพท์มือถือ และอุปกรณ์อื่นๆ

• ความสามารถในการโจมตีแบบ flooder อาจทำให้ระบบล่ม ใช้งานไม่ได้

• backdoor อนุญาตให้ผู้โจมตีควบคุมระบบและขโมยข้อมูล

แนวทางป้องกัน:

• ติดตั้งโปรแกรมป้องกันไวรัสและมัลแวร์ที่มีประสิทธิภาพ

• ระมัดระวังในการเปิดอีเมลและคลิกที่ลิงค์หรือไฟล์ที่ไม่น่าเชื่อถือ

• อัปเดตระบบปฏิบัติการและซอฟต์แวร์ต่างๆ อย่างสม่ำเสมอ

• ระมัดระวังในการใช้เครือข่ายแบบ peer-to-peer

Ref : https://thehackernews.com/2023/12/new-nkabuse-malware-exploits-nkn.html