لقد تطورت برمجية Chaos الخبيثة القوية مرة أخرى، وتحولت إلى تهديد جديد متعدد المنصات يستند إلى Go ولا يشبه أي تكرار لبرامج الفدية السابقة. وهي تستهدف الآن الثغرات الأمنية المعروفة لشن هجمات رفض الخدمة الموزعة (DDoS) وإجراء عمليات تعدين العملات المشفرة.
لاحظ باحثون من Black Lotus Labs، ذراع استخبارات التهديدات لشركة Lumen Technologies، مؤخرًا نسخة من الفوضى مكتوبة باللغة الصينية، تستفيد من البنية التحتية الموجودة في الصين، وتُظهر سلوكًا مختلفًا تمامًا عن النشاط الأخير الذي شاهده منشئ برامج الفدية الذي يحمل نفس الاسم. قالوا في بلوق وظيفة نشرت في 28 سبتمبر.
في الواقع، فإن الفروق بين الإصدارات السابقة من الفوضى ومجموعات الفوضى الـ 100 المتميزة والحديثة التي لاحظها الباحثون مختلفة تمامًا لدرجة أنهم يقولون إنها تشكل تهديدًا جديدًا تمامًا. في الواقع، يعتقد الباحثون أن البديل الأخير هو في الواقع تطور لـ DDoS الروبوتات كايجي وقالوا إنه ربما يكون "متميزًا عن أداة إنشاء برامج الفدية Chaos" التي شوهدت سابقًا في البرية.
Kaiji، الذي تم اكتشافه في عام 2020، استهدف في الأصل خوادم AMD وi386 المستندة إلى Linux من خلال الاستفادة من القوة الغاشمة لـ SSH لإصابة الروبوتات الجديدة ثم شن هجمات DDoS. قال الباحثون إن Chaos طورت قدرات Kaiji الأصلية لتشمل وحدات للبنيات الجديدة - بما في ذلك Windows - بالإضافة إلى إضافة وحدات نشر جديدة من خلال استغلال CVE وحصاد مفاتيح SSH.
نشاط الفوضى الأخيرة
في النشاط الأخير، نجحت شركة Chaos في اختراق خادم GitLab وكشفت عن موجة من هجمات DDoS التي استهدفت الألعاب والخدمات المالية والتكنولوجيا وصناعات الإعلام والترفيه، إلى جانب مقدمي خدمات DDoS كخدمة وتبادل العملات المشفرة.
وقال الباحثون إن الفوضى لا تستهدف الآن الشركات والمؤسسات الكبيرة فحسب، بل تستهدف أيضًا "الأجهزة والأنظمة التي لا تتم مراقبتها بشكل روتيني كجزء من نموذج أمان المؤسسة، مثل أجهزة التوجيه SOHO ونظام التشغيل FreeBSD".
وقال الباحثون إنه على الرغم من أنه في المرة الأخيرة التي تم فيها رصد الفوضى في البرية، فإنها كانت تعمل كبرنامج فدية نموذجي يدخل الشبكات بغرض تشفير الملفات، إلا أن الجهات الفاعلة التي تقف وراء البديل الأخير لها دوافع مختلفة تمامًا في الاعتبار.
يبدو أن وظائفها عبر الأنظمة الأساسية والأجهزة بالإضافة إلى الملف التعريفي الخفي للبنية التحتية للشبكة وراء أحدث نشاط Chaos تثبت أن الهدف من الحملة هو إنشاء شبكة من الأجهزة المصابة للاستفادة من الوصول الأولي وهجمات DDoS والتشفير. ، بحسب الباحثين.
الاختلافات الرئيسية، والتشابه واحد
في حين أن النماذج السابقة من الفوضى تمت كتابتها بلغة .NET، فإن أحدث البرامج الضارة تمت كتابتها بلغة Go، والتي أصبحت بسرعة ملفًا لغة الاختيار وقال الباحثون إن التهديدات تطال الجهات الفاعلة بسبب مرونتها عبر الأنظمة الأساسية، وانخفاض معدلات اكتشاف برامج مكافحة الفيروسات، وصعوبة الهندسة العكسية.
وفي الواقع، أحد أسباب قوة الإصدار الأخير من Chaos هو أنه يعمل عبر منصات متعددة، بما في ذلك ليس فقط أنظمة تشغيل Windows وLinux ولكن أيضًا ARM وIntel (i386) وMIPS وPowerPC.
كما أنه ينتشر بطريقة مختلفة تمامًا عن الإصدارات السابقة من البرامج الضارة. وأشار الباحثون إلى أنه في حين لم يتمكن الباحثون من التأكد من ناقل الوصول الأولي الخاص به، بمجرد سيطرته على النظام، فإن أحدث متغيرات الفوضى تستغل نقاط الضعف المعروفة بطريقة تظهر القدرة على المحور بسرعة.
"من بين العينات التي قمنا بتحليلها تم الإبلاغ عنها CVEs لشركة هواوي (CVE-2017-17215) و زإكسل (CVE-2022-30525) جدران الحماية الشخصية، وكلاهما استفاد من نقاط الضعف غير المصادق عليها في حقن سطر الأوامر عن بعد،" لاحظوا في منشورهم. "ومع ذلك، يبدو ملف CVE تافهًا بالنسبة للممثل لتحديثه، ونحن نقيم أنه من المحتمل جدًا أن يستفيد الممثل من CVEs الأخرى."
وقال الباحثون إن الفوضى مرت بالفعل بالعديد من التجسيدات منذ ظهورها لأول مرة في يونيو 2021، ومن غير المرجح أن تكون هذه النسخة الأخيرة هي الأخيرة. كان التكرار الأول له، Chaos Builder 1.0-3.0، يُزعم أنه منشئ لإصدار .NET من برنامج Ryuk لطلب الفدية، لكن سرعان ما لاحظ الباحثون أنه لا يشبه إلى حد كبير برنامج Ryuk وكان في الواقع ممسحة.
تطورت البرامج الضارة عبر عدة إصدارات حتى الإصدار الرابع من Chaos builder الذي تم إصداره في أواخر عام 2021 وحصل على دفعة عندما قامت مجموعة تهديد تدعى Onyx بإنشاء برنامج فدية خاص بها. سرعان ما أصبح هذا الإصدار هو إصدار Chaos الأكثر شيوعًا الذي تم ملاحظته مباشرة في البرية، حيث قام بتشفير بعض الملفات ولكن استمر في الكتابة فوقه وتدمير معظم الملفات الموجودة في طريقه.
في وقت سابق من هذا العام في شهر مايو، باني الفوضى تداولت قدراتها على المسح للتشفير، والتي ظهرت على السطح باستخدام برنامج ثنائي مُعاد تسميته باسم Yashma والذي يتضمن إمكانات كاملة لبرامج الفدية.
في حين أن التطور الأخير للفوضى الذي شهدته Black Lotus Labs يختلف كثيرًا، إلا أنه يحتوي على تشابه كبير مع سابقاتها، وهو النمو السريع الذي من غير المرجح أن يتباطأ في أي وقت قريب، كما قال الباحثون.
تم إنشاء أول شهادة لأحدث إصدار من Chaos في 16 أبريل؛ يحدث هذا لاحقًا عندما يعتقد الباحثون أن الجهات التهديدية أطلقت البديل الجديد في البرية.
منذ ذلك الحين، أظهر عدد شهادات الفوضى الموقعة ذاتيًا "نموًا ملحوظًا"، حيث تضاعف في مايو إلى 39 ثم قفز إلى 93 في شهر أغسطس، حسبما قال الباحثون. وقالوا إنه اعتبارًا من 20 سبتمبر، تجاوز الشهر الحالي بالفعل إجمالي الشهر السابق مع إنشاء 94 شهادة فوضى.
تخفيف المخاطر في جميع المجالات
ولأن الفوضى تهاجم الآن الضحايا من أصغر المكاتب المنزلية إلى أكبر المؤسسات، فقد قدم الباحثون توصيات محددة لكل نوع من الأهداف.
بالنسبة لأولئك الذين يدافعون عن الشبكات، فقد نصحوا بأن يظل مسؤولو الشبكة على اطلاع بإدارة تصحيح الثغرات الأمنية المكتشفة حديثًا، لأن هذه هي الطريقة الرئيسية لانتشار الفوضى.
وأوصى الباحثون "باستخدام نقاط الاتصال الدولية الموضحة في هذا التقرير لرصد عدوى الفوضى، بالإضافة إلى الاتصالات بأي بنية تحتية مشبوهة".
يجب على المستهلكين الذين لديهم أجهزة توجيه للمكاتب الصغيرة والمكاتب المنزلية اتباع أفضل الممارسات لإعادة تشغيل أجهزة التوجيه بانتظام وتثبيت التحديثات والتصحيحات الأمنية، بالإضافة إلى الاستفادة من حلول EDR التي تم تكوينها وتحديثها بشكل صحيح على الأجهزة المضيفة. يجب على هؤلاء المستخدمين أيضًا تصحيح البرامج بانتظام من خلال تطبيق تحديثات البائعين حيثما أمكن ذلك.
العمال عن بعد - سطح الهجوم الذي زاد بشكل كبير خلال العامين الأخيرين من الوباء - معرض للخطر أيضًا، ويجب التخفيف منه عن طريق تغيير كلمات المرور الافتراضية وتعطيل الوصول إلى الجذر عن بعد على الأجهزة التي لا تتطلب ذلك، كما أوصى الباحثون. يجب على هؤلاء العمال أيضًا تخزين مفاتيح SSH بشكل آمن وعلى الأجهزة التي تتطلبها فقط.
بالنسبة لجميع الشركات، توصي Black Lotus Labs بالنظر في تطبيق حافة خدمة الوصول الآمن الشاملة (SASE) وعمليات الحماية من هجمات DDoS لتعزيز مواقفها الأمنية العامة وتمكين الكشف القوي عن الاتصالات القائمة على الشبكة.
