Den kraftfulde Chaos-malware har udviklet sig igen og er blevet til en ny Go-baseret, multiplatform-trussel, der ikke minder om dens tidligere ransomware-iteration. Det er nu rettet mod kendte sikkerhedssårbarheder for at starte distribuerede denial-of-service-angreb (DDoS) og udføre kryptominering.
Forskere fra Black Lotus Labs, Lumen Technologies' trusselsintelligensarm, har for nylig observeret en version af Chaos skrevet på kinesisk, der udnytter Kina-baseret infrastruktur og udviser adfærd, der er meget anderledes end den sidste aktivitet set af ransomware-byggeren af samme navn, de sagde i et blogindlæg udgivet 28. sept.
Forskellene mellem tidligere varianter af Chaos og de 100 distinkte og nyere Chaos-klynger, som forskere observerede, er faktisk så forskellige, at de siger det udgør en helt ny trussel. Faktisk mener forskere, at den nyeste variant faktisk er udviklingen af DDoS botnet Kaiji og måske "adskilt fra Chaos ransomware builder" tidligere set i naturen, sagde de.
Kaiji, opdaget i 2020, var oprindeligt målrettet mod Linux-baserede AMD- og i386-servere ved at udnytte SSH-brute-forcing til at inficere nye bots og derefter starte DDoS-angreb. Chaos har udviklet Kaijis originale evner til at inkludere moduler til nye arkitekturer - inklusive Windows - samt tilføjelse af nye udbredelsesmoduler gennem CVE-udnyttelse og SSH-nøgleindsamling, sagde forskerne.
Seneste kaosaktivitet
I den seneste aktivitet kompromitterede Chaos med succes en GitLab-server og udfoldede en byge af DDoS-angreb rettet mod spil, finansielle tjenester og teknologi samt medie- og underholdningsindustrien sammen med DDoS-as-a-service-udbydere og en kryptovalutabørs.
Chaos er nu rettet mod ikke kun virksomheder og store organisationer, men også "enheder og systemer, der ikke rutinemæssigt overvåges som en del af en virksomhedssikkerhedsmodel, såsom SOHO-routere og FreeBSD OS," sagde forskerne.
Og mens sidste gang Chaos blev set i naturen, fungerede det mere som typisk ransomware, der kom ind i netværk med det formål at kryptere filer, har aktørerne bag den seneste variant meget forskellige motiver i tankerne, sagde forskerne.
Dens tværplatforms- og enhedsfunktionalitet samt stealth-profilen af netværksinfrastrukturen bag den seneste Chaos-aktivitet ser ud til at demonstrere, at målet med kampagnen er at dyrke et netværk af inficerede enheder til at udnytte til indledende adgang, DDoS-angreb og kryptominering , ifølge forskerne.
Nøgleforskelle og en lighed
Mens tidligere eksempler på Chaos blev skrevet i .NET, er den seneste malware skrevet i Go, som hurtigt er ved at blive en valgsprog for trusselsaktører på grund af dens tværplatformsfleksibilitet, lave antivirus-detektionsrater og vanskeligheder med at reverse-engineere, sagde forskerne.
Og faktisk er en af grundene til, at den seneste version af Chaos er så kraftfuld, fordi den fungerer på tværs af flere platforme, inklusive ikke kun Windows- og Linux-operativsystemer, men også ARM, Intel (i386), MIPS og PowerPC, sagde de.
Det forplanter sig også på en meget anderledes måde end tidligere versioner af malwaren. Mens forskerne ikke var i stand til at fastslå dens oprindelige adgangsvektor, så snart den har fået fat i et system, udnytter de seneste Chaos-varianter kendte sårbarheder på en måde, der viser evnen til at dreje hurtigt, bemærkede forskerne.
"Blandt de prøver, vi analyserede, blev rapporteret CVE'er til Huawei (CVE-2017-17215) og Zyxel (CVE-2022-30525) personlige firewalls, som begge udnyttede uautoriseret fjernkommandolinjeindsprøjtningssårbarhed,” bemærkede de i deres indlæg. "Men CVE-filen virker triviel for skuespilleren at opdatere, og vi vurderer, at det er højst sandsynligt, at skuespilleren udnytter andre CVE'er."
Kaos har faktisk gennemgået adskillige inkarnationer, siden det først dukkede op i juni 2021, og denne seneste version er sandsynligvis ikke den sidste, sagde forskerne. Dens første iteration, Chaos Builder 1.0-3.0, foregav at være en builder til en .NET-version af Ryuk ransomware, men forskerne bemærkede snart, at den ikke lignede Ryuk og faktisk var en visker.
Malwaren udviklede sig på tværs af flere versioner indtil version fire af Chaos Builder, der blev frigivet i slutningen af 2021 og fik et løft, da en trusselgruppe ved navn Onyx skabte sin egen ransomware. Denne version blev hurtigt den mest almindelige Chaos-udgave, der blev observeret direkte i naturen, idet den krypterede nogle filer, men vedligeholdt overskrevne og ødelagde de fleste af filerne på dens vej.
Tidligere i år i maj, Kaosbyggeren byttede sine viskerfunktioner til kryptering, dukker op med en omdøbt binær døbt Yashma, der inkorporerede fuldt udbyggede ransomware-funktioner.
Mens den seneste udvikling af Chaos, som Black Lotus Labs har set, er meget anderledes, har den en væsentlig lighed med dens forgængere - hurtig vækst, der sandsynligvis ikke vil aftage noget snart, sagde forskerne.
Det tidligste certifikat for den seneste Chaos-variant blev genereret den 16. april; Det er efterfølgende, når forskere mener, at trusselsaktører lancerede den nye variant i naturen.
Siden da har antallet af selvsignerede Chaos-certifikater vist "markant vækst", mere end fordoblet i maj til 39 og derefter hoppet til 93 for august måned, sagde forskerne. Fra den 20. september har den nuværende måned allerede overgået den foregående måneds samlede antal med genereringen af 94 Chaos-certifikater, sagde de.
Reducering af risiko på tværs af linjen
Fordi Chaos nu angriber ofre fra de mindste hjemmekontorer til de største virksomheder, fremsatte forskere specifikke anbefalinger for hver type mål.
For dem, der forsvarer netværk, rådede de til, at netværksadministratorer forbliver på toppen af patch-administration for nyligt opdagede sårbarheder, da dette er den vigtigste måde, hvorpå Chaos spredes.
"Brug IoC'erne, der er skitseret i denne rapport, til at overvåge for en Chaos-infektion, såvel som forbindelser til enhver mistænkelig infrastruktur," anbefalede forskerne.
Forbrugere med små kontor- og hjemmekontorroutere bør følge bedste praksis for regelmæssigt at genstarte routere og installere sikkerhedsopdateringer og patches, samt udnytte korrekt konfigurerede og opdaterede EDR-løsninger på værter. Disse brugere bør også regelmæssigt patche software ved at anvende leverandørers opdateringer, hvor det er relevant.
Fjernarbejdere - en angrebsflade, der er steget markant i løbet af de sidste to år af pandemien - er også i fare, og bør afbøde den ved at ændre standardadgangskoder og deaktivere fjernadgang til rod på maskiner, der ikke kræver det, anbefalede forskerne. Sådanne arbejdere bør også opbevare SSH-nøgler sikkert og kun på enheder, der kræver dem.
For alle virksomheder anbefaler Black Lotus Labs, at man overvejer anvendelsen af omfattende sikker adgangsservice edge (SASE) og DDoS-reduktionsbeskyttelse for at styrke deres overordnede sikkerhedspositioner og muliggøre robust detektering på netværksbaseret kommunikation.
