הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית תוכנה זדונית של KadNap

תוכנה זדונית של KadNap

עד Mezo ב-תוכנה זדונית
לתרגם ל:

חוקרי אבטחת סייבר זיהו זן חדש של תוכנה זדונית בשם KadNap, המכוון בעיקר לנתבים של Asus ומגייס אותם לרשת בוטים שנועדה להעביר תעבורת אינטרנט זדונית. התוכנה הזדונית, שנצפתה לראשונה באוגוסט 2025, כבר הדביקה יותר מ-14,000 מכשירים ברחבי העולם. ניתוח מצביע על כך שיותר מ-60% מהמערכות שנפגעו ממוקמות בארצות הברית, בעוד שאשכולות קטנים יותר של הדבקות זוהו בטייוואן, הונג קונג, רוסיה, בריטניה, אוסטרליה, ברזיל, צרפת, איטליה וספרד.

למרות שנראה כי נתבי Asus הם המטרות העיקריות, חקירות מראות כי המפעילים שמאחורי KadNap הרחיבו את מאמציהם כך שיכללו מגוון רחב יותר של התקני רשת קצה. הרחבה זו מצביעה על ניסיון מכוון למקסם את הגודל והחוסן של תשתית הבוטנט.

הסתרה עמית לעמית באמצעות טכנולוגיית קדמליה

מאפיין בולט של פעולת KadNap הוא הסתמכותה על יישום שונה של פרוטוקול Kademlia Distributed Hash Table (DHT). פרוטוקול זה משולב בארכיטקטורת peer-to-peer שמסתירה את מיקום התשתית של הבוטנט על ידי הסתרת מערכות פקודה בתוך צמתים מבוזרים.

מכשירים שנפרצו מתקשרים דרך רשת DHT כדי לגלות ולהתחבר לשרתי פיקוד ובקרה (C2). על ידי פיזור התקשורת על פני סביבה מבוזרת, התוכנה הזדונית נמנעת מהסתמכות על נקודת תשתית אחת, מה שמסבך משמעותית את מאמצי הזיהוי וההסרה המסורתיים. הגישה משלבת ביעילות תעבורה זדונית עם פעילות רשת עמית לעמית לגיטימית, מה שמקשה משמעותית על הניטור והשיבוש עבור המגנים.

מנגנון הדבקה ואסטרטגיית התמדה

שרשרת ההדבקה מתחילה בסקריפט מעטפת בשם aic.sh, אשר מוריד משרת פקודות המתארח בכתובת ה-IP 212.104.141.140. סקריפט זה מתחיל את תהליך שילוב המכשיר הפגוע במערכת האקולוגית peer-to-peer של הבוטנט.

הסקריפט מבטיח עמידות (permanence) על ידי יצירת משימת cron מתוזמנת שמאחזרת את אותו סקריפט בדקה ה-55 בכל שעה. בכל פעם שהוא מורד, שמו של הסקריפט משתנה ל-'.asusrouter' ומופעל. לאחר אבטחת עמידות, הסקריפט מוריד קובץ בינארי זדוני של ELF, משנה את שמו ל-kad, ומפעיל אותו, ובכך למעשה פורס את מטען התוכנה הזדונית KadNap. התוכנה הזדונית תוכננה לפעול על מכשירים המשתמשים במעבדי ARM ו-MIPS כאחד, מה שמאפשר לה לפגוע במגוון רחב של ארכיטקטורות נתבים.

גילוי עמיתים ותיאום רשתות מבוססי זמן

KadNap משלבת מנגנון לסנכרון פעילות ברשת המבוזרת שלה. הנוזקה מתחברת לשרת Network Time Protocol (NTP) כדי לאחזר את זמן המערכת הנוכחי ומשלבת אותו עם מידע זמן הפעילות של המכשיר הנגוע. ערכים אלה משמשים ליצירת גיבוב המסייע למכשיר הנגוע לאתר עמיתים בתוך הרשת המבוזרת.

תהליך זה מאפשר למערכות שנפרצו לגלות צמתים אחרים, לקבל הוראות ולהוריד קבצים זדוניים נוספים מבלי להסתמך על מבנה פקודות מרכזי. סקריפטים תומכים כגון fwr.sh ו-/tmp/.sose מבצעים גם משימות נוספות, כולל השבתת פורט 22, פורט ה-TCP הסטנדרטי המשמש את Secure Shell (SSH), וחילוץ רשימות של כתובות שרת C2 ושילובי פורטים המשמשים לתקשורת נוספת.

מסחור הבוטנט באמצעות שירותי פרוקסי

ברגע שנתבים נפגעים, הם משולבים ברשת פרוקסי מסחרית המשווקת תחת השם Doppelgänger דרך אתר האינטרנט doppelganger.shop. חוקרי אבטחה מעריכים שירות זה כגרסה ממותגת מחדש של Faceless, פלטפורמת פרוקסי שקושרת בעבר לתוכנה הזדונית TheMoon.

על פי חומר פרסומי שפרסם השירות, הרשת מספקת גישת פרוקסי למגורים ביותר מ-50 מדינות ומפרסמת '100% אנונימיות' למשתמשים. עדויות מצביעות על כך שהפלטפורמה הושקה בסביבות מאי או יוני 2025. התשתית מפלחת מכשירים נגועים לפי סוג ודגם, מכיוון שלא כל מכשיר שנפגע מתקשר עם כל שרת פקודה. פילוח זה מצביע על אסטרטגיית ניהול בוטנטים מובנית וניתנת להרחבה.

רשת הפרוקסי כבר נצפתה כשהיא מנוצלת על ידי גורמי איום מרובים. עם זאת, ייחוס הרשת נותר קשה מכיוון שנתבים המעורבים ברשת נגועים לעיתים בו זמנית במשפחות תוכנות זדוניות נוספות, מה שמטשטש איזה גורם אחראי לפעילויות זדוניות ספציפיות.

אמצעי הגנה לבעלי נתבים

עלייתו של KadNap מדגישה את הסיכון הגובר שמציב מכשירי קצה שאינם מאובטחים היטב בסביבות ביתיות ומשרדיות קטנות כאחד. מגיני רשת ומשתמשים בודדים יכולים להפחית משמעותית את החשיפה על ידי אימוץ מספר נהלי אבטחה:

  • תחזוקה של נתבים והתקני רשת עם עדכוני הקושחה והאבטחה העדכניים ביותר.
  • הפעל מחדש מכשירים מעת לעת כדי לנקות תהליכים זדוניים זמניים, במידת הצורך.
  • החלף את פרטי הגישה המוגדרים כברירת מחדל בסיסמאות חזקות וייחודיות.
  • הגבל ואבטח ממשקי ניהול אדמיניסטרטיביים.
  • הוציאו לגמלאות והחליפו נתבים שהגיעו לסוף חייהם ואינם מקבלים עוד עדכוני אבטחה מהספק.

בוטנט מבוזר שנועד להתגנבות

KadNap מבדילה את עצמה מרשתות בוט מסורתיות רבות התומכות בשירותי פרוקסי אנונימיים באמצעות השימוש שלה בארכיטקטורת עמית לעמית מבוזרת. על ידי מינוף פרוטוקול Kademlia DHT, הבוטנט מחלק שליטה בין מכשירים נגועים במקום להסתמך על שרתים מרכזיים הניתנים לזיהוי בקלות.

ארכיטקטורה זו מספקת למפעילים ערוצי תקשורת עמידים שקשה משמעותית לזהות, לחסום או לפרק. המטרה האסטרטגית ברורה: לשמור על המשכיות תפעולית, להתחמק ממעקב אבטחה ולסבך את מאמצי התגובה ההגנתית של צוותי אבטחת סייבר.

מגמות

הכי נצפה

תוכנה זדונית

פישינג, ספאם
22,143
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...