Sebuah malware multiplatform baru ditemukan oleh tim Kaspersky. Tergolong advanced threat, malware bernama NKAbuse ini memanfaatkan jaringan blockchain dan dapat menjadi ancaman ganda yang sulit dideteksi.
Malware ini ditemukan Global Emergency Response Team (GERT) dan Global Research & Analysis Team (GReAT) Kaspersky saat merespons insiden baru-baru ini. Jaringan Keamanan Kaspersky mengidentifikasi calon korban serangan malware ini berada di Kolombia, Meksiko, dan Vietnam.
Bagaimana malware ini bekerja? NKAbuse merupakan sebuah implan hibrida yang bekerja sebagai backdoor/RAT dan flooder sehingga membuatnya menjadi ancaman ganda yang serbaguna.
Sebagai backdoor/RAT (remote access trojan), NKAbuse membukakan akses tidak sah bagi penyerang untuk masuk ke sistem korban sehingga penyerang dapat menjalankan perintah secara diam-diam, mencuri data, dan memantau aktivitas korban. Fitur semacam ini khususnya berguna dalam spionase dan eksfiltrasi data.
Secara bersamaan, NKAbuse juga bertindak sebagai flooder, yang mampu melakukan serangan DDoS yang destruktif, membebani dan mendisrupsi server atau jaringan yang menjadi targetnya sehingga berdampak signifikan terhadap operasional organisasi.
Kaspersky menyebut malware ini memiliki sejumlah fitur canggih, seperti mengambil tangkapan layar (screenshot), mengelola file, mengambil informasi sistem dan jaringan, dan menjalankan perintah sistem. Semua data yang terkumpul akan dikirimkan ke botmaster melalui jaringan NKN, menggunakan komunikasi terdesentralisasi untuk kerahasiaan dan efisiensi.
Proses penyusupan NKAbuse dimulai dengan mengeksploitasi kerentanan RCE lama CVE-2017-5638, yang memungkinkan penyerang mengambil alih sistem yang terpengaruh. Setelah memperoleh kendali, malware akan mengunduh implan ke host korban. Awalnya, implan ini ditempatkan di direktori sementara untuk dieksekusi.
NKAbuse kemudian membangun persistensi (untuk menjaga akses tetap terbuka) dengan membuat sejumlah cron job dan menempatkan dirinya di dalam folder home host untuk memastikan operasi yang berkelanjutan di dalam sistem.
“Penggunaan protokol NKN oleh implan ini menggarisbawahi strategi komunikasi canggih (malware ini), memungkinkan operasi yang terdesentralisasi dan anonim, serta memanfaatkan fitur blockchain NKN untuk komunikasi yang efisien dan tersembunyi antara node yang terinfeksi dan server C2. Pendekatan ini mempersulit upaya deteksi dan mitigasi. Saya ingin memuji Tim Kaspersky GERT atas upaya luar biasa mereka dalam mengidentifikasi ancaman canggih ini," kata Lisandro Ubiedo, Peneliti Keamanan di GReAT Kaspersky.
Sementara penggunaan bahasa Go, menurut Kaspersky, memungkinkan kompatibilitas lintas platform sehingga memungkinkan NKAbuse menyasar berbagai sistem operasi dan arsitektur, termasuk desktop Linux dan perangkat IoT. Bahasa pemrograman ini meningkatkan kinerja implan, khususnya dalam aplikasi jaringan, memastikan pemrosesan yang efisien dan bersamaan.
Selain itu, kemampuan Go untuk menghasilkan biner mandiri menyederhanakan penerapan dan meningkatkan ketahanan, menjadikan NKAbuse alat yang tangguh dalam ancaman keamanan siber.
Sebagai informasi, semua produk Kaspersky mendeteksi NKAbuse sebagai HEUR:Backdoor.Linux.NKabuse.a. Laporan gabungan GERT dan GReAT, yang mencakup indikator kompromi spesifik seperti hash MD5 dan file yang dibuat oleh malware, tersedia di Securelist.com.
Bagaimana caranya agar tidak menjadi target serangan oleh pelaku ancaman yang dikenal maupun yang tidak dikenal? Kaspersky merekomendasikan sejumlah langkah, seperti pembaruan sistem operasi, aplikasi, dan software antivirus secara berkala; memberi tim SOC akses ke threat intelligence terbaru; meningkatkan keterampilan tim keamanan siber; menerapkan solusi endpoint detection, seperti Kaspersky Endpoint Detection and Response.
Baca juga: Kaspersky: Konsumen Kian Nyaman Pakai Kripto untuk Aneka Kebutuhan