Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware KadNap Malware

KadNap Malware

Nga MezoMalware
Përkthe në:

Studiuesit e sigurisë kibernetike kanë identifikuar një lloj të ri të malware-it të njohur si KadNap, i cili kryesisht synon routerat Asus dhe i rekruton ata në një botnet të projektuar për të përfaqësuar trafikun keqdashës të internetit. I vërejtur për herë të parë në gusht 2025, malware-i ka infektuar tashmë më shumë se 14,000 pajisje në të gjithë botën. Analiza tregon se mbi 60% e sistemeve të kompromentuara ndodhen në Shtetet e Bashkuara, ndërsa grupe më të vogla infeksionesh janë zbuluar në Tajvan, Hong Kong, Rusi, Mbretërinë e Bashkuar, Australi, Brazil, Francë, Itali dhe Spanjë.

Edhe pse routerët Asus duket se janë objektivat kryesorë, hetimet tregojnë se operatorët që qëndrojnë pas KadNap kanë zgjeruar përpjekjet e tyre për të përfshirë një gamë më të gjerë të pajisjeve të rrjetëzimit në skaje. Ky zgjerim sugjeron një përpjekje të qëllimshme për të maksimizuar madhësinë dhe qëndrueshmërinë e infrastrukturës së botnet-it.

Fshehja e të Dhënave nga Kolegët në Kolegët përmes Teknologjisë Kademlia

Një tipar përcaktues i operacionit KadNap është mbështetja e tij në një implementim të modifikuar të protokollit Kademlia Distributed Hash Table (DHT). Ky protokoll është i integruar në një arkitekturë peer-to-peer që fsheh vendndodhjen e infrastrukturës së botnet-it duke fshehur sistemet e komandës brenda nyjeve të shpërndara.

Pajisjet e kompromentuara komunikojnë përmes rrjetit DHT për të zbuluar dhe për t'u lidhur me serverat Command-and-Control (C2). Duke shpërndarë komunikimin në një mjedis të decentralizuar, programi keqdashës shmang mbështetjen në një pikë të vetme infrastrukture, duke i komplikuar ndjeshëm përpjekjet tradicionale të zbulimit dhe heqjes. Kjo qasje përzien në mënyrë efektive trafikun keqdashës me aktivitetin legjitim të rrjetit peer-to-peer, duke e bërë monitorimin dhe ndërprerjen shumë më të vështirë për mbrojtësit.

Mekanizmi i Infeksionit dhe Strategjia e Përhershme

Zinxhiri i infeksionit fillon me një skript shell të quajtur aic.sh, i cili shkarkohet nga një server komandash i vendosur në adresën IP 212.104.141.140. Ky skript fillon procesin e integrimit të pajisjes së kompromentuar në ekosistemin peer-to-peer të botnet-it.

Skripti vendos persistencën duke krijuar një punë cron të planifikuar që rikthen të njëjtin skript në minutën e 55-të të çdo ore. Sa herë që shkarkohet, skripti riemërohet në '.asusrouter' dhe ekzekutohet. Pasi persistenca të jetë e sigurt, skripti shkarkon një skedar binar ELF keqdashës, e riemërton atë kad dhe e ekzekuton atë, duke vendosur në mënyrë efektive ngarkesën e malware-it KadNap. Malware është projektuar për të vepruar në pajisje që përdorin procesorë ARM dhe MIPS, duke i mundësuar atij të kompromentojë një gamë të gjerë arkitekturash router-ash.

Zbulimi i kolegëve bazuar në kohë dhe koordinimi i rrjetit

KadNap përfshin një mekanizëm për sinkronizimin e aktivitetit në të gjithë rrjetin e tij të decentralizuar. Malware lidhet me një server të Protokollit të Kohës së Rrjetit (NTP) për të marrë kohën aktuale të sistemit dhe e kombinon atë me informacionin e kohës së funksionimit të pajisjes së infektuar. Këto vlera përdoren për të gjeneruar një hash që ndihmon pajisjen e infektuar të gjejë bashkëmoshatarët brenda rrjetit të shpërndarë.

Ky proces u mundëson sistemeve të kompromentuara të zbulojnë nyje të tjera, të marrin udhëzime dhe të shkarkojnë skedarë shtesë keqdashës pa u mbështetur në një strukturë komande të centralizuar. Skriptet mbështetëse si fwr.sh dhe /tmp/.sose kryejnë gjithashtu detyra shtesë, duke përfshirë çaktivizimin e portit 22, portit standard TCP të përdorur nga Secure Shell (SSH), dhe nxjerrjen e listave të adresave të serverit C2 dhe kombinimeve të porteve të përdorura për komunikim të mëtejshëm.

Komercializimi i Botnet-it përmes Shërbimeve Proxy

Pasi routerët kompromentohen, ata integrohen në një rrjet komercial proxy të tregtuar nën emrin Doppelgänger përmes faqes së internetit doppelganger.shop. Studiuesit e sigurisë e vlerësojnë këtë shërbim si një version të ribranduar të Faceless, një platformë proxy e lidhur më parë me malware-in TheMoon.

Sipas materialit promovues të publikuar nga shërbimi, rrjeti ofron akses në serverat proxy rezidencialë në më shumë se 50 vende dhe reklamon 'anonimitet 100%' për përdoruesit. Provat sugjerojnë se platforma u lançua rreth majit ose qershorit 2025. Infrastruktura i segmenton pajisjet e infektuara sipas llojit dhe modelit, pasi jo çdo pajisje e kompromentuar komunikon me çdo server komande. Ky segmentim tregon një strategji të strukturuar dhe të shkallëzueshme të menaxhimit të botnet-it.

Rrjeti proxy është vërejtur tashmë duke u shfrytëzuar nga aktorë të shumtë kërcënues. Megjithatë, atribuimi mbetet i vështirë sepse routerët e përfshirë në rrjet ndonjëherë infektohen njëkohësisht me familje të tjera të programeve keqdashëse, duke errësuar se cili aktor është përgjegjës për aktivitete specifike keqdashëse.

Masat mbrojtëse për pronarët e ruterëve

Rritja e KadNap nxjerr në pah rrezikun në rritje që paraqesin pajisjet anësore të siguruara dobët si në mjediset shtëpiake ashtu edhe në ato të zyrave të vogla. Mbrojtësit e rrjetit dhe përdoruesit individualë mund ta zvogëlojnë ndjeshëm ekspozimin duke miratuar disa praktika sigurie:

  • Mirëmbani routerat dhe pajisjet e rrjetit me përditësimet më të fundit të firmware-it dhe sigurisë.
  • Rinisni pajisjet periodikisht për të pastruar proceset e përkohshme dashakeqe kur është e aplikueshme.
  • Zëvendësoni kredencialet standarde me fjalëkalime të forta dhe unike.
  • Kufizoni dhe siguroni ndërfaqet e menaxhimit administrativ.
  • Hiqni dhe zëvendësoni routerët që kanë arritur në fund të jetëgjatësisë dhe nuk marrin më përditësime sigurie nga shitësi.

Një Botnet i Decentralizuar i Projektuar për Vjedhje

KadNap dallohet nga shumë botnet tradicionalë që mbështesin shërbime anonime proxy përmes përdorimit të një arkitekture të decentralizuar peer-to-peer. Duke shfrytëzuar protokollin Kademlia DHT, botnet shpërndan kontrollin nëpër pajisjet e infektuara në vend që të mbështetet në servera të centralizuar lehtësisht të identifikueshëm.

Kjo arkitekturë u ofron operatorëve kanale komunikimi elastike që janë dukshëm më të vështira për t'u zbuluar, bllokuar ose çmontuar. Qëllimi strategjik është i qartë: ruajtja e vazhdimësisë operacionale, shmangia e monitorimit të sigurisë dhe ndërlikimi i përpjekjeve mbrojtëse për ekipet e sigurisë kibernetike.

Në trend

Më e shikuara

Po ngarkohet...