卡巴斯基全球紧急响应团队(GERT)的网络安全研究人员发现，NKAbuse恶意软件正在积极针对哥伦比亚、墨西哥和越南的设备。该恶意软件被称为NKAbuse，使用新型网络(NKN)技术（一种基于区块链的点对点网络协议）来传播其感染。

卡巴斯基全球紧急响应团队(GERT)发现了一种新的多平台恶意软件威胁，该威胁使用创新策略来劫持受害者。该恶意软件被称为NKAbuse，使用新型网络(NKN)技术（一种基于区块链的点对点网络协议）来传播其感染。

NKAbuse是一个基于Go的后门，用作僵尸网络，以Linux桌面和潜在的IoT设备为目标。该恶意软件允许攻击者发起分布式拒绝服务(DDoS)攻击或远程访问木马(RAT)。

值得注意的是，该后门依赖NKN进行匿名且可靠的数据交换。供您参考，NKN是一种开源协议，允许通过拥有超过60000个活动节点的公共区块链进行点对点数据交换。它旨在为客户端到服务器方法提供一种去中心化的替代方案，同时保持速度和隐私。

该僵尸网络可以使用60000个官方节点并链接回其C2（命令和控制）服务器来进行洪水攻击。它具有广泛的DDoS攻击库和多种功能，可以变成强大的后门或RAT。

恶意软件植入物会创建一个名为“Heartbeat”的结构，定期与僵尸主机进行通信。它存储有关受感染主机的信息，包括受害者的PID、IP地址、可用内存和当前配置。

卡巴斯基研究人员在调查针对其金融行业客户之一的事件时发现了NKAbuse。进一步检查发现NKAbuse利用了旧的Apache Struts 2漏洞（追踪为CVE-2017-5638）。

该漏洞由于2017年12月报告，允许攻击者使用“shell”标头在服务器上执行命令和Bash，然后执行命令来下载初始脚本。

NKAbuse利用NKN协议与机器人主机进行通信并发送/接收信息。它创建一个新帐户和多客户端，以同时从多个客户端发送/接收数据。

NKN帐户使用表示公钥和远程地址的64个字符的字符串进行初始化。设置客户端后，恶意软件会建立一个处理程序来接受传入消息，其中包含42个案例，每个案例根据发送的代码执行不同的操作。

研究人员观察到，攻击者利用公开可用的概念验证漏洞来利用Struts 2缺陷。他们执行远程shell脚本，确定受害者的操作系统并安装第二阶段有效负载。使用NKAbuse的amd64版本，攻击通过cron作业实现了持久性。

“这个特殊的植入程序似乎是为了集成到僵尸网络而精心设计的，但它可以适应在特定主机中充当后门的功能，并且它对区块链技术的使用确保了可靠性和匿名性，这表明该僵尸网络有扩展的潜力随着时间的推移，它会稳定地运行，似乎没有一个可识别的中央控制器。” ---卡巴斯基全球紧急响应团队(GERT)

NKAbuse没有自传播功能，并且可以针对至少八种不同的体系结构，尽管Linux是优先考虑的。成功植入可能会导致数据泄露、盗窃、远程管理、持久性和DDoS攻击。

目前，其运营商正专注于感染哥伦比亚、墨西哥和越南的设备。然而，研究人员怀疑其随着时间的推移而扩展的潜力。