Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό Κακόβουλο λογισμικό KadNap

Κακόβουλο λογισμικό KadNap

Μέχρι το Mezo το Κακόβουλο λογισμικό
Μετάφραση σε:

Ερευνητές στον τομέα της κυβερνοασφάλειας εντόπισαν ένα νεοεμφανιζόμενο στέλεχος κακόβουλου λογισμικού γνωστό ως KadNap, το οποίο στοχεύει κυρίως τους δρομολογητές Asus και τους στρατολογεί σε ένα botnet που έχει σχεδιαστεί για να εξυπηρετεί κακόβουλη διαδικτυακή κίνηση. Παρατηρήθηκε για πρώτη φορά τον Αύγουστο του 2025 και έχει ήδη μολύνει περισσότερες από 14.000 συσκευές παγκοσμίως. Η ανάλυση δείχνει ότι πάνω από το 60% των παραβιασμένων συστημάτων βρίσκονται στις Ηνωμένες Πολιτείες, ενώ μικρότερα σμήνη μολύνσεων έχουν εντοπιστεί στην Ταϊβάν, το Χονγκ Κονγκ, τη Ρωσία, το Ηνωμένο Βασίλειο, την Αυστραλία, τη Βραζιλία, τη Γαλλία, την Ιταλία και την Ισπανία.

Παρόλο που οι δρομολογητές της Asus φαίνεται να είναι οι κύριοι στόχοι, οι έρευνες δείχνουν ότι οι πάροχοι που βρίσκονται πίσω από το KadNap έχουν επεκτείνει τις προσπάθειές τους ώστε να συμπεριλάβουν ένα ευρύτερο φάσμα συσκευών δικτύωσης edge. Αυτή η επέκταση υποδηλώνει μια σκόπιμη προσπάθεια μεγιστοποίησης του μεγέθους και της ανθεκτικότητας της υποδομής του botnet.

Απόκρυψη Peer-to-Peer μέσω της τεχνολογίας Kademlia

Ένα καθοριστικό χαρακτηριστικό της λειτουργίας KadNap είναι η εξάρτησή της από μια τροποποιημένη υλοποίηση του πρωτοκόλλου Kademlia Distributed Hash Table (DHT). Αυτό το πρωτόκολλο ενσωματώνεται σε μια αρχιτεκτονική peer-to-peer που αποκρύπτει την τοποθεσία της υποδομής του botnet αποκρύπτοντας συστήματα εντολών εντός κατανεμημένων κόμβων.

Οι παραβιασμένες συσκευές επικοινωνούν μέσω του δικτύου DHT για να εντοπίσουν και να συνδεθούν με διακομιστές Command-and-Control (C2). Διασπείροντας την επικοινωνία σε ένα αποκεντρωμένο περιβάλλον, το κακόβουλο λογισμικό αποφεύγει την εξάρτηση από ένα μόνο σημείο υποδομής, περιπλέκοντας σημαντικά τις παραδοσιακές προσπάθειες ανίχνευσης και εξάλειψης. Η προσέγγιση αυτή συνδυάζει αποτελεσματικά την κακόβουλη κίνηση με τη νόμιμη δραστηριότητα δικτύου peer-to-peer, καθιστώντας την παρακολούθηση και τη διακοπή σημαντικά πιο δύσκολη για τους υπερασπιστές.

Μηχανισμός Λοίμωξης και Στρατηγική Επιμονής

Η αλυσίδα μόλυνσης ξεκινά με ένα shell script με το όνομα aic.sh, το οποίο λαμβάνεται από έναν διακομιστή εντολών που φιλοξενείται στη διεύθυνση IP 212.104.141.140. Αυτό το script ξεκινά τη διαδικασία ενσωμάτωσης της παραβιασμένης συσκευής στο οικοσύστημα peer-to-peer του botnet.

Το σενάριο δημιουργεί μια προγραμματισμένη εργασία cron που ανακτά το ίδιο σενάριο στα 55 λεπτά κάθε ώρας. Κάθε φορά που λαμβάνεται, το σενάριο μετονομάζεται σε '.asusrouter' και εκτελείται. Μόλις ασφαλιστεί η διατήρηση, το σενάριο κατεβάζει ένα κακόβουλο δυαδικό αρχείο ELF, το μετονομάζει σε kad και το εκτελεί, αναπτύσσοντας ουσιαστικά το φορτίο κακόβουλου λογισμικού KadNap. Το κακόβουλο λογισμικό έχει σχεδιαστεί για να λειτουργεί σε συσκευές που χρησιμοποιούν επεξεργαστές ARM και MIPS, επιτρέποντάς του να θέσει σε κίνδυνο ένα ευρύ φάσμα αρχιτεκτονικών δρομολογητών.

Ανακάλυψη Ομότιμων με Βάση τον Χρόνο και Συντονισμός Δικτύου

Το KadNap ενσωματώνει έναν μηχανισμό για τον συγχρονισμό της δραστηριότητας σε όλο το αποκεντρωμένο δίκτυό του. Το κακόβουλο λογισμικό συνδέεται με έναν διακομιστή Network Time Protocol (NTP) για να ανακτήσει την τρέχουσα ώρα συστήματος και τη συνδυάζει με τις πληροφορίες χρόνου λειτουργίας της μολυσμένης συσκευής. Αυτές οι τιμές χρησιμοποιούνται για τη δημιουργία ενός hash που βοηθά τη μολυσμένη συσκευή να εντοπίσει τους ομότιμους χρήστες εντός του κατανεμημένου δικτύου.

Αυτή η διαδικασία επιτρέπει στα παραβιασμένα συστήματα να ανακαλύπτουν άλλους κόμβους, να λαμβάνουν οδηγίες και να κατεβάζουν πρόσθετα κακόβουλα αρχεία χωρίς να βασίζονται σε μια κεντρική δομή εντολών. Υποστηριζόμενα σενάρια όπως τα fwr.sh και /tmp/.sose εκτελούν επίσης πρόσθετες εργασίες, όπως η απενεργοποίηση της θύρας 22, της τυπικής θύρας TCP που χρησιμοποιείται από το Secure Shell (SSH), και η εξαγωγή λιστών με διευθύνσεις διακομιστή C2 και συνδυασμούς θυρών που χρησιμοποιούνται για περαιτέρω επικοινωνία.

Εμπορευματοποίηση του Botnet μέσω υπηρεσιών Proxy

Μόλις οι δρομολογητές παραβιαστούν, ενσωματώνονται σε ένα εμπορικό δίκτυο proxy που διατίθεται στην αγορά με την ονομασία Doppelgänger μέσω του ιστότοπου doppelganger.shop. Οι ερευνητές ασφαλείας αξιολογούν ότι αυτή η υπηρεσία είναι μια μετονομασμένη έκδοση του Faceless, μιας πλατφόρμας proxy που προηγουμένως συνδεόταν με το κακόβουλο λογισμικό TheMoon.

Σύμφωνα με διαφημιστικό υλικό που δημοσίευσε η υπηρεσία, το δίκτυο παρέχει πρόσβαση σε οικιακούς proxy σε περισσότερες από 50 χώρες και διαφημίζει «100% ανωνυμία» για τους χρήστες. Τα στοιχεία δείχνουν ότι η πλατφόρμα ξεκίνησε γύρω στον Μάιο ή τον Ιούνιο του 2025. Η υποδομή τμηματοποιεί τις μολυσμένες συσκευές ανά τύπο και μοντέλο, καθώς δεν επικοινωνεί κάθε παραβιασμένη συσκευή με κάθε διακομιστή εντολών. Αυτή η τμηματοποίηση υποδηλώνει μια δομημένη και κλιμακούμενη στρατηγική διαχείρισης botnet.

Έχει ήδη παρατηρηθεί ότι το δίκτυο proxy εκμεταλλεύεται πολλαπλοί απειλητικοί παράγοντες. Ωστόσο, η απόδοση παραμένει δύσκολη, επειδή οι δρομολογητές που εμπλέκονται στο δίκτυο μερικές φορές μολύνονται ταυτόχρονα με πρόσθετες οικογένειες κακόβουλου λογισμικού, αποκρύπτοντας ποιος παράγοντας είναι υπεύθυνος για συγκεκριμένες κακόβουλες δραστηριότητες.

Αμυντικά μέτρα για τους κατόχους δρομολογητών

Η άνοδος του KadNap υπογραμμίζει τον αυξανόμενο κίνδυνο που θέτουν οι κακώς ασφαλισμένες συσκευές edge τόσο σε οικιακά όσο και σε μικρά γραφεία. Οι υπερασπιστές δικτύων και οι μεμονωμένοι χρήστες μπορούν να μειώσουν σημαντικά την έκθεση υιοθετώντας διάφορες πρακτικές ασφαλείας:

  • Συντηρήστε τους δρομολογητές και τις συσκευές δικτύωσης με τις πιο πρόσφατες ενημερώσεις υλικολογισμικού και ασφαλείας.
  • Επανεκκινήστε τις συσκευές περιοδικά για να διαγράψετε προσωρινές κακόβουλες διεργασίες, όταν είναι απαραίτητο.
  • Αντικαταστήστε τα προεπιλεγμένα διαπιστευτήρια με ισχυρούς, μοναδικούς κωδικούς πρόσβασης.
  • Περιορίστε και ασφαλίστε τις διεπαφές διαχείρισης διαχειριστή.
  • Αποσύρετε και αντικαταστήστε τους δρομολογητές που έχουν φτάσει στο τέλος του κύκλου ζωής τους και δεν λαμβάνουν πλέον ενημερώσεις ασφαλείας από τον προμηθευτή.

Ένα Αποκεντρωμένο Botnet Σχεδιασμένο για Αθόρυβη Λειτουργία

Το KadNap διακρίνεται από πολλά παραδοσιακά botnet που υποστηρίζουν ανώνυμες υπηρεσίες proxy μέσω της χρήσης μιας αποκεντρωμένης αρχιτεκτονικής peer-to-peer. Αξιοποιώντας το πρωτόκολλο Kademlia DHT, το botnet κατανέμει τον έλεγχο σε μολυσμένες συσκευές αντί να βασίζεται σε εύκολα αναγνωρίσιμους κεντρικούς διακομιστές.

Αυτή η αρχιτεκτονική παρέχει στους χειριστές ανθεκτικά κανάλια επικοινωνίας που είναι σημαντικά πιο δύσκολο να εντοπιστούν, να αποκλειστούν ή να αποσυναρμολογηθούν. Ο στρατηγικός στόχος είναι σαφής: διατήρηση της επιχειρησιακής συνέχειας, αποφυγή της παρακολούθησης ασφαλείας και περιπλοκή των προσπαθειών αμυντικής απόκρισης για τις ομάδες κυβερνοασφάλειας.

Τάσεις

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
22,143
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...