KadNap Malware
సైబర్ సెక్యూరిటీ పరిశోధకులు కొత్తగా ఉద్భవిస్తున్న కాడ్నాప్ అనే మాల్వేర్ జాతిని గుర్తించారు, ఇది ప్రధానంగా ఆసుస్ రౌటర్లను లక్ష్యంగా చేసుకుని హానికరమైన ఇంటర్నెట్ ట్రాఫిక్ను ప్రాక్సీ చేయడానికి రూపొందించిన బోట్నెట్లోకి నియమిస్తుంది. ఆగస్టు 2025లో మొదటిసారిగా అడవిలో గమనించిన ఈ మాల్వేర్ ఇప్పటికే ప్రపంచవ్యాప్తంగా 14,000 కంటే ఎక్కువ పరికరాలకు సోకింది. విశ్లేషణ ప్రకారం 60% కంటే ఎక్కువ రాజీపడిన వ్యవస్థలు యునైటెడ్ స్టేట్స్లో ఉన్నాయి, అయితే తైవాన్, హాంకాంగ్, రష్యా, యునైటెడ్ కింగ్డమ్, ఆస్ట్రేలియా, బ్రెజిల్, ఫ్రాన్స్, ఇటలీ మరియు స్పెయిన్లలో చిన్న చిన్న అంటువ్యాధులు కనుగొనబడ్డాయి.
ఆసుస్ రౌటర్లు ప్రాథమిక లక్ష్యాలుగా కనిపిస్తున్నప్పటికీ, కాడ్నాప్ వెనుక ఉన్న ఆపరేటర్లు విస్తృత శ్రేణి ఎడ్జ్ నెట్వర్కింగ్ పరికరాలను చేర్చడానికి తమ ప్రయత్నాలను విస్తరించారని పరిశోధనలు చూపిస్తున్నాయి. ఈ విస్తరణ బోట్నెట్ మౌలిక సదుపాయాల పరిమాణం మరియు స్థితిస్థాపకతను పెంచడానికి ఉద్దేశపూర్వక ప్రయత్నాన్ని సూచిస్తుంది.
విషయ సూచిక
కాడెమ్లియా టెక్నాలజీ ద్వారా పీర్-టు-పీర్ దాగి ఉండటం
కాడెమ్లియా డిస్ట్రిబ్యూటెడ్ హాష్ టేబుల్ (DHT) ప్రోటోకాల్ యొక్క సవరించిన అమలుపై ఆధారపడటం కాడ్నాప్ ఆపరేషన్ యొక్క నిర్వచించే లక్షణం. ఈ ప్రోటోకాల్ పీర్-టు-పీర్ ఆర్కిటెక్చర్లో విలీనం చేయబడింది, ఇది డిస్ట్రిబ్యూటెడ్ నోడ్లలో కమాండ్ సిస్టమ్లను దాచడం ద్వారా బోట్నెట్ యొక్క మౌలిక సదుపాయాల స్థానాన్ని దాచిపెడుతుంది.
కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్లను కనుగొని వాటికి కనెక్ట్ అవ్వడానికి రాజీపడిన పరికరాలు DHT నెట్వర్క్ ద్వారా కమ్యూనికేట్ చేస్తాయి. వికేంద్రీకృత వాతావరణంలో కమ్యూనికేషన్ను చెదరగొట్టడం ద్వారా, మాల్వేర్ ఒకే మౌలిక సదుపాయాల పాయింట్పై ఆధారపడటాన్ని నివారిస్తుంది, సాంప్రదాయ గుర్తింపు మరియు తొలగింపు ప్రయత్నాలను గణనీయంగా క్లిష్టతరం చేస్తుంది. ఈ విధానం హానికరమైన ట్రాఫిక్ను చట్టబద్ధమైన పీర్-టు-పీర్ నెట్వర్క్ కార్యాచరణలో సమర్థవంతంగా మిళితం చేస్తుంది, ఇది డిఫెండర్లకు పర్యవేక్షణ మరియు అంతరాయాన్ని చాలా కష్టతరం చేస్తుంది.
ఇన్ఫెక్షన్ మెకానిజం మరియు పెర్సిస్టెన్స్ స్ట్రాటజీ
ఈ ఇన్ఫెక్షన్ గొలుసు aic.sh అనే షెల్ స్క్రిప్ట్తో ప్రారంభమవుతుంది, ఇది IP చిరునామా 212.104.141.140 వద్ద హోస్ట్ చేయబడిన కమాండ్ సర్వర్ నుండి డౌన్లోడ్ చేయబడింది. ఈ స్క్రిప్ట్ రాజీపడిన పరికరాన్ని బోట్నెట్ యొక్క పీర్-టు-పీర్ ఎకోసిస్టమ్లో అనుసంధానించే ప్రక్రియను ప్రారంభిస్తుంది.
ప్రతి గంటకు 55 నిమిషాల సమయం తర్వాత అదే స్క్రిప్ట్ను తిరిగి పొందే షెడ్యూల్ చేయబడిన క్రాన్ జాబ్ను సృష్టించడం ద్వారా స్క్రిప్ట్ నిలకడను ఏర్పరుస్తుంది. ప్రతిసారీ డౌన్లోడ్ చేయబడినప్పుడు, స్క్రిప్ట్ '.asusrouter' గా పేరు మార్చబడుతుంది మరియు అమలు చేయబడుతుంది. నిలకడ సురక్షితం అయిన తర్వాత, స్క్రిప్ట్ ఒక హానికరమైన ELF బైనరీని డౌన్లోడ్ చేస్తుంది, దానిని kad గా పేరు మారుస్తుంది మరియు దానిని అమలు చేస్తుంది, KadNap మాల్వేర్ పేలోడ్ను సమర్థవంతంగా అమలు చేస్తుంది. మాల్వేర్ ARM మరియు MIPS ప్రాసెసర్లను ఉపయోగించి పరికరాల్లో పనిచేయడానికి ఇంజనీరింగ్ చేయబడింది, ఇది విస్తృత శ్రేణి రౌటర్ ఆర్కిటెక్చర్లను రాజీ చేయడానికి వీలు కల్పిస్తుంది.
సమయ-ఆధారిత పీర్ డిస్కవరీ మరియు నెట్వర్క్ కోఆర్డినేషన్
కాడ్నాప్ దాని వికేంద్రీకృత నెట్వర్క్ అంతటా కార్యకలాపాలను సమకాలీకరించడానికి ఒక యంత్రాంగాన్ని కలిగి ఉంటుంది. మాల్వేర్ ప్రస్తుత సిస్టమ్ సమయాన్ని తిరిగి పొందడానికి నెట్వర్క్ టైమ్ ప్రోటోకాల్ (NTP) సర్వర్కు కనెక్ట్ అవుతుంది మరియు దానిని సోకిన పరికరం యొక్క అప్టైమ్ సమాచారంతో మిళితం చేస్తుంది. ఈ విలువలు సోకిన పరికరం పంపిణీ చేయబడిన నెట్వర్క్లోని పీర్లను గుర్తించడంలో సహాయపడే హాష్ను రూపొందించడానికి ఉపయోగించబడతాయి.
ఈ ప్రక్రియ రాజీపడిన వ్యవస్థలు కేంద్రీకృత కమాండ్ నిర్మాణంపై ఆధారపడకుండా ఇతర నోడ్లను కనుగొనడానికి, సూచనలను పొందడానికి మరియు అదనపు హానికరమైన ఫైల్లను డౌన్లోడ్ చేసుకోవడానికి వీలు కల్పిస్తుంది. fwr.sh మరియు /tmp/.sose వంటి సహాయక స్క్రిప్ట్లు సెక్యూర్ షెల్ (SSH) ఉపయోగించే ప్రామాణిక TCP పోర్ట్ అయిన పోర్ట్ 22ని నిలిపివేయడం మరియు తదుపరి కమ్యూనికేషన్ కోసం ఉపయోగించే C2 సర్వర్ చిరునామా మరియు పోర్ట్ కాంబినేషన్ల జాబితాలను సంగ్రహించడం వంటి అదనపు పనులను కూడా నిర్వహిస్తాయి.
ప్రాక్సీ సేవల ద్వారా బోట్నెట్ వాణిజ్యీకరణ
రౌటర్లు రాజీపడిన తర్వాత, అవి doppelganger.shop వెబ్సైట్ ద్వారా Doppelgänger పేరుతో మార్కెట్ చేయబడిన వాణిజ్య ప్రాక్సీ నెట్వర్క్లో విలీనం చేయబడతాయి. భద్రతా పరిశోధకులు ఈ సేవను ఫేస్లెస్ యొక్క రీబ్రాండెడ్ వెర్షన్గా అంచనా వేస్తున్నారు, ఇది గతంలో TheMoon మాల్వేర్తో అనుబంధించబడిన ప్రాక్సీ ప్లాట్ఫామ్.
ఈ సర్వీస్ ప్రచురించిన ప్రమోషనల్ మెటీరియల్ ప్రకారం, ఈ నెట్వర్క్ 50 కంటే ఎక్కువ దేశాలలో నివాస ప్రాక్సీ యాక్సెస్ను అందిస్తుంది మరియు వినియోగదారుల కోసం '100% అనామకత'ను ప్రచారం చేస్తుంది. ఈ ప్లాట్ఫామ్ మే లేదా జూన్ 2025లో ప్రారంభించబడిందని ఆధారాలు సూచిస్తున్నాయి. ప్రతి రాజీపడిన పరికరం ప్రతి కమాండ్ సర్వర్తో కమ్యూనికేట్ చేయనందున, మౌలిక సదుపాయాలు పరికరాలను రకం మరియు మోడల్ ద్వారా విభజిస్తాయి. ఈ విభజన నిర్మాణాత్మక మరియు స్కేలబుల్ బోట్నెట్ నిర్వహణ వ్యూహాన్ని సూచిస్తుంది.
ప్రాక్సీ నెట్వర్క్ను బహుళ బెదిరింపు నటులు దోపిడీ చేస్తున్నట్లు ఇప్పటికే గమనించబడింది. అయితే, నెట్వర్క్లో పాల్గొన్న రౌటర్లు కొన్నిసార్లు అదనపు మాల్వేర్ కుటుంబాలతో ఏకకాలంలో సోకడం వలన, నిర్దిష్ట హానికరమైన కార్యకలాపాలకు ఏ నటుడు బాధ్యత వహిస్తాడో అస్పష్టంగా ఉండటం వలన ఆపాదించడం కష్టంగా ఉంది.
రూటర్ యజమానులకు రక్షణ చర్యలు
కాడ్నాప్ పెరుగుదల గృహ మరియు చిన్న-కార్యాలయ వాతావరణాలలో పేలవమైన భద్రత కలిగిన అంచు పరికరాల వల్ల పెరుగుతున్న ప్రమాదాన్ని హైలైట్ చేస్తుంది. నెట్వర్క్ రక్షకులు మరియు వ్యక్తిగత వినియోగదారులు అనేక భద్రతా పద్ధతులను అవలంబించడం ద్వారా ఎక్స్పోజర్ను గణనీయంగా తగ్గించవచ్చు:
- రౌటర్లు మరియు నెట్వర్కింగ్ పరికరాలను తాజా ఫర్మ్వేర్ మరియు భద్రతా నవీకరణలతో నిర్వహించండి.
- వర్తించినప్పుడు తాత్కాలిక హానికరమైన ప్రక్రియలను తొలగించడానికి పరికరాలను క్రమానుగతంగా రీబూట్ చేయండి.
- డిఫాల్ట్ ఆధారాలను బలమైన, ప్రత్యేకమైన పాస్వర్డ్లతో భర్తీ చేయండి.
- పరిపాలనా నిర్వహణ ఇంటర్ఫేస్లను పరిమితం చేయండి మరియు భద్రపరచండి.
- జీవితాంతం అయిపోయిన మరియు ఇకపై విక్రేత భద్రతా నవీకరణలను అందుకోని రౌటర్లను పదవీ విరమణ చేసి భర్తీ చేయండి.
స్టెల్త్ కోసం రూపొందించబడిన వికేంద్రీకృత బాట్నెట్
వికేంద్రీకృత పీర్-టు-పీర్ ఆర్కిటెక్చర్ను ఉపయోగించడం ద్వారా అనామక ప్రాక్సీ సేవలకు మద్దతు ఇచ్చే అనేక సాంప్రదాయ బోట్నెట్ల నుండి కాడ్నాప్ తనను తాను వేరు చేసుకుంటుంది. కాడెమ్లియా DHT ప్రోటోకాల్ను ఉపయోగించడం ద్వారా, బోట్నెట్ సులభంగా గుర్తించదగిన కేంద్రీకృత సర్వర్లపై ఆధారపడకుండా సోకిన పరికరాల్లో నియంత్రణను పంపిణీ చేస్తుంది.
ఈ నిర్మాణం ఆపరేటర్లకు స్థితిస్థాపక కమ్యూనికేషన్ మార్గాలను అందిస్తుంది, వీటిని గుర్తించడం, నిరోధించడం లేదా విడదీయడం చాలా కష్టం. వ్యూహాత్మక లక్ష్యం స్పష్టంగా ఉంది: కార్యాచరణ కొనసాగింపును నిర్వహించడం, భద్రతా పర్యవేక్షణను తప్పించుకోవడం మరియు సైబర్ భద్రతా బృందాల కోసం రక్షణాత్మక ప్రతిస్పందన ప్రయత్నాలను క్లిష్టతరం చేయడం.
