Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер Зловреден софтуер KadNap

Зловреден софтуер KadNap

До Mezo през Зловреден софтуерг
Превод на:

Изследователи по киберсигурност са идентифицирали нововъзникващ щам на зловреден софтуер, известен като KadNap, който е насочен предимно към рутери на Asus и ги вербува в ботнет мрежа, предназначена да проксира зловреден интернет трафик. Забелязан за първи път в реално време през август 2025 г., зловредният софтуер вече е заразил повече от 14 000 устройства по целия свят. Анализът показва, че над 60% от компрометираните системи се намират в Съединените щати, докато по-малки клъстери от инфекции са открити в Тайван, Хонконг, Русия, Обединеното кралство, Австралия, Бразилия, Франция, Италия и Испания.

Въпреки че рутерите на Asus изглежда са основните цели, разследванията показват, че операторите зад KadNap са разширили усилията си, за да включат по-широк спектър от устройства за периферни мрежи. Това разширяване предполага умишлен опит за максимизиране на размера и устойчивостта на инфраструктурата на ботнет мрежата.

Прикриване от тип „peer-to-peer“ чрез технологията Kademlia

Определяща характеристика на операцията KadNap е зависимостта ѝ от модифицирана имплементация на протокола Kademlia Distributed Hash Table (DHT). Този протокол е интегриран в peer-to-peer архитектура, която прикрива местоположението на инфраструктурата на ботнета, като скрива командните системи в разпределени възли.

Компрометираните устройства комуникират чрез DHT мрежата, за да откриват и да се свързват със сървъри за командване и контрол (C2). Чрез разпръскване на комуникацията в децентрализирана среда, зловредният софтуер избягва зависимостта от една единствена инфраструктурна точка, което значително усложнява традиционните усилия за откриване и премахване. Подходът ефективно смесва злонамерен трафик с легитимна peer-to-peer мрежова активност, което прави наблюдението и прекъсването значително по-трудни за защитниците.

Механизъм на инфекция и стратегия за персистиране

Веригата на заразяване започва с shell скрипт с име aic.sh, който се изтегля от команден сървър, хостван на IP адрес 212.104.141.140. Този скрипт инициира процеса на интегриране на компрометираното устройство в peer-to-peer екосистемата на ботнета.

Скриптът установява постоянство, като създава планирана cron задача, която извлича същия скрипт на 55-ата минута на всеки час. Всеки път, когато се изтегли, скриптът се преименува на '.asusrouter' и се изпълнява. След като постоянството е осигурено, скриптът изтегля злонамерен ELF двоичен файл, преименува го на kad и го изпълнява, като ефективно внедрява полезния товар на зловредния софтуер KadNap. Злонамереният софтуер е проектиран да работи на устройства, използващи както ARM, така и MIPS процесори, което му позволява да компрометира широк спектър от архитектури на рутери.

Откриване на партньори и координация на мрежата, базирани на времето

KadNap включва механизъм за синхронизиране на активността в своята децентрализирана мрежа. Зловредният софтуер се свързва със сървър, работещ по протокол за мрежово време (NTP), за да извлече текущото системно време и го комбинира с информацията за времето на работа на заразеното устройство. Тези стойности се използват за генериране на хеш, който помага на заразеното устройство да локализира пиъри в разпределената мрежа.

Този процес позволява на компрометираните системи да откриват други възли, да получават инструкции и да изтеглят допълнителни злонамерени файлове, без да разчитат на централизирана командна структура. Поддържащи скриптове като fwr.sh и /tmp/.sose също изпълняват допълнителни задачи, включително деактивиране на порт 22, стандартния TCP порт, използван от Secure Shell (SSH), и извличане на списъци с комбинации от адреси и портове на C2 сървъри, използвани за по-нататъшна комуникация.

Комерсиализация на ботнет мрежата чрез прокси услуги

След като рутерите бъдат компрометирани, те се интегрират в търговска прокси мрежа, предлагана на пазара под името Doppelgänger чрез уебсайта doppelganger.shop. Изследователите по сигурността оценяват тази услуга като ребрендирана версия на Faceless, прокси платформа, която преди това е била свързвана със зловредния софтуер TheMoon.

Според рекламни материали, публикувани от услугата, мрежата предоставя достъп чрез прокси сървъри за жилищни потребители в повече от 50 държави и рекламира „100% анонимност“ за потребителите. Данните сочат, че платформата е стартирана около май или юни 2025 г. Инфраструктурата сегментира заразените устройства по вид и модел, тъй като не всяко компрометирано устройство комуникира с всеки команден сървър. Тази сегментация показва структурирана и мащабируема стратегия за управление на ботнет мрежи.

Вече е наблюдавано, че прокси мрежата се използва от множество злонамерени лица. Определянето на атрибуцията обаче остава трудно, тъй като рутерите, участващи в мрежата, понякога са едновременно заразени с допълнителни семейства зловреден софтуер, което прикрива кой е отговорен за конкретни злонамерени дейности.

Защитни мерки за собствениците на рутери

Възходът на KadNap подчертава нарастващия риск, породен от лошо защитените периферни устройства както в домашни, така и в малки офис среди. Мрежовите защитници и индивидуалните потребители могат значително да намалят излагането на риск, като възприемат няколко практики за сигурност:

  • Поддържайте рутерите и мрежовите устройства с най-новите актуализации на фърмуера и защитата.
  • Рестартирайте устройствата периодично, за да изчистите временните злонамерени процеси, когато е приложимо.
  • Заменете идентификационните данни по подразбиране със силни, уникални пароли.
  • Ограничете и защитете интерфейсите за административно управление.
  • Пенсионирайте и подменете рутери, които са достигнали края на жизнения си цикъл и вече не получават актуализации за сигурност от доставчици.

Децентрализирана ботнет мрежа, проектирана за скритост

KadNap се отличава от много традиционни ботнети, които поддържат анонимни прокси услуги, чрез използването на децентрализирана peer-to-peer архитектура. Чрез използването на протокола Kademlia DHT, ботнетът разпределя контрола между заразените устройства, вместо да разчита на лесно разпознаваеми централизирани сървъри.

Тази архитектура предоставя на операторите устойчиви комуникационни канали, които са значително по-трудни за откриване, блокиране или премахване. Стратегическата цел е ясна: поддържане на оперативна непрекъснатост, избягване на мониторинг за сигурност и усложняване на усилията за защитен отговор на екипите по киберсигурност.

Тенденция

Най-гледан

Зареждане...