Το Chaos Malware επανεμφανίζεται με ολοκαίνουργιες μονάδες DDoS & Cryptomining

The powerful Chaos malware has evolved yet again, morphing into a new Go-based, multiplatform threat that bears no resemblance to its previous ransomware iteration. It’s now targeting known security vulnerabilities to launch distributed denial-of-service (DDoS) attacks and perform cryptomining.

Ερευνητές από το Black Lotus Labs, τον βραχίονα πληροφοριών απειλών της Lumen Technologies, παρατήρησαν πρόσφατα μια έκδοση του Chaos γραμμένη στα κινέζικα, αξιοποιώντας την υποδομή που βασίζεται στην Κίνα και παρουσίαζε συμπεριφορά πολύ διαφορετική από την τελευταία δραστηριότητα που είχε δει ο ομώνυμος κατασκευαστής ransomware. αυτοι ειπαν σε ένα blog post δημοσιεύθηκε 28 Σεπτεμβρίου.

Πράγματι, οι διακρίσεις μεταξύ προηγούμενων παραλλαγών του Χάους και των 100 διακριτών και πρόσφατων συστάδων Χάους που παρατήρησαν οι ερευνητές είναι τόσο διαφορετικές που λένε ότι αποτελεί μια ολοκαίνουργια απειλή. Στην πραγματικότητα, οι ερευνητές πιστεύουν ότι η τελευταία παραλλαγή είναι στην πραγματικότητα η εξέλιξη του DDoS botnet Kaiji and perhaps “distinct from the Chaos ransomware builder” previously seen in the wild, they said.

Kaiji, discovered in 2020, originally targeted Linux-based AMD and i386 servers by leveraging SSH brute-forcing to infect new bots and then launch DDoS attacks. Chaos has evolved Kaiji’s original capabilities to include modules for new architectures — including Windows — as well as adding new propagation modules through CVE exploitation and SSH key harvesting, the researchers said.

Πρόσφατη δραστηριότητα χάους

Σε πρόσφατη δραστηριότητα, η Chaos παραβίασε επιτυχώς έναν διακομιστή GitLab και ξέσπασε μια σειρά από επιθέσεις DDoS που στοχεύουν τις βιομηχανίες παιχνιδιών, χρηματοοικονομικών υπηρεσιών και τεχνολογίας και μέσων και ψυχαγωγίας, μαζί με παρόχους υπηρεσιών DDoS-as-a-υπηρεσία και ανταλλαγή κρυπτονομισμάτων.

Chaos is now targeting not only enterprise and large organizations but also “devices and systems that aren’t routinely monitored as part of an enterprise security model, such as SOHO routers and FreeBSD OS,” the researchers said.

Και ενώ την τελευταία φορά που το Chaos εντοπίστηκε στη φύση, λειτουργούσε περισσότερο ως τυπικό ransomware που εισήλθε σε δίκτυα με σκοπό την κρυπτογράφηση αρχείων, οι ηθοποιοί πίσω από την τελευταία παραλλαγή έχουν πολύ διαφορετικά κίνητρα στο μυαλό τους, είπαν οι ερευνητές.

Η λειτουργικότητα πολλαπλών πλατφορμών και συσκευών καθώς και το προφίλ stealth της δικτυακής υποδομής πίσω από την πιο πρόσφατη δραστηριότητα Chaos φαίνεται να καταδεικνύει ότι ο στόχος της καμπάνιας είναι να καλλιεργήσει ένα δίκτυο μολυσμένων συσκευών για να αξιοποιήσει την αρχική πρόσβαση, τις επιθέσεις DDoS και την εξόρυξη κρυπτογράφησης , σύμφωνα με τους ερευνητές.

Βασικές Διαφορές και Μία Ομοιότητα

Ενώ τα προηγούμενα δείγματα του Chaos γράφτηκαν σε .NET, το πιο πρόσφατο κακόβουλο λογισμικό είναι γραμμένο στο Go, το οποίο γίνεται γρήγορα γλώσσα επιλογής για τους φορείς απειλών λόγω της ευελιξίας του σε πολλαπλές πλατφόρμες, των χαμηλών ρυθμών ανίχνευσης ιών και της δυσκολίας στην αντίστροφη μηχανική, είπαν οι ερευνητές.

Και πράγματι, ένας από τους λόγους που η τελευταία έκδοση του Chaos είναι τόσο ισχυρή είναι επειδή λειτουργεί σε πολλές πλατφόρμες, συμπεριλαμβανομένων όχι μόνο λειτουργικών συστημάτων Windows και Linux αλλά και ARM, Intel (i386), MIPS και PowerPC, είπαν.

Επίσης, διαδίδεται με πολύ διαφορετικό τρόπο από τις προηγούμενες εκδόσεις του κακόβουλου λογισμικού. Ενώ οι ερευνητές δεν μπόρεσαν να εξακριβώσουν το αρχικό διάνυσμα πρόσβασής του, μόλις κατακτήσει ένα σύστημα, οι τελευταίες παραλλαγές του Chaos εκμεταλλεύονται γνωστά τρωτά σημεία με τρόπο που δείχνει την ικανότητα γρήγορης περιστροφής, σημείωσαν οι ερευνητές.

“Among the samples we analyzed were reported CVE για Huawei (CVE-2017-17215) Και Zyxel (CVE-2022-30525) personal firewalls, both of which leveraged unauthenticated remote command line injection vulnerabilities,” they observed in their post. “However, the CVE file appears trivial for the actor to update, and we assess it is highly likely the actor leverages other CVEs.”

Το Chaos έχει πράγματι περάσει από πολλές ενσαρκώσεις από τότε που εμφανίστηκε για πρώτη φορά τον Ιούνιο του 2021 και αυτή η τελευταία έκδοση δεν είναι πιθανό να είναι η τελευταία του, είπαν οι ερευνητές. Η πρώτη του επανάληψη, το Chaos Builder 1.0-3.0, υποτίθεται ότι ήταν ένας κατασκευαστής για μια έκδοση .NET του ransomware Ryuk, αλλά οι ερευνητές σύντομα παρατήρησαν ότι είχε μικρή ομοιότητα με τον Ryuk και ήταν στην πραγματικότητα ένας υαλοκαθαριστήρας.

Το κακόβουλο λογισμικό εξελίχθηκε σε διάφορες εκδόσεις μέχρι την τέταρτη έκδοση του προγράμματος δημιουργίας Chaos που κυκλοφόρησε στα τέλη του 2021 και ενισχύθηκε όταν μια ομάδα απειλών με το όνομα Onyx δημιούργησε το δικό της ransomware. Αυτή η έκδοση έγινε γρήγορα η πιο κοινή έκδοση Chaos που παρατηρήθηκε απευθείας στη φύση, κρυπτογραφώντας ορισμένα αρχεία, αλλά διατηρούσε αντικαθιστώντας και καταστρέφοντας τα περισσότερα από τα αρχεία στο πέρασμά της.

Νωρίτερα φέτος τον Μάιο, το Chaos οικοδόμος αντάλλαξε τις δυνατότητες των υαλοκαθαριστήρων του για κρυπτογράφηση, εμφανίστηκε με ένα ανανεωμένο δυαδικό μεταγλωττισμένο Yashma που ενσωμάτωσε πλήρως ανεπτυγμένες δυνατότητες ransomware.

Ενώ η πιο πρόσφατη εξέλιξη του Χάους που παρατηρήθηκε από τα Black Lotus Labs είναι πολύ διαφορετική, έχει μια σημαντική ομοιότητα με τους προκατόχους του - ταχεία ανάπτυξη που είναι απίθανο να επιβραδυνθεί σύντομα, είπαν οι ερευνητές.

Το παλαιότερο πιστοποιητικό της τελευταίας παραλλαγής Chaos δημιουργήθηκε στις 16 Απριλίου. Αυτό συμβαίνει στη συνέχεια όταν οι ερευνητές πιστεύουν ότι οι παράγοντες απειλών λανσάρισαν τη νέα παραλλαγή στη φύση.

Since then, the number of Chaos self-signed certificates has shown “marked growth,” more than doubling in May to 39 and then jumping to 93 for the month of August, the researchers said. As of Sept. 20, the current month has already surpassed the previous month’s total with the generation of 94 Chaos certificates, they said.

Μετριασμός κινδύνου σε όλο το συμβούλιο

Επειδή το Chaos επιτίθεται τώρα σε θύματα από τα μικρότερα γραφεία στο σπίτι έως τις μεγαλύτερες επιχειρήσεις, οι ερευνητές έκαναν συγκεκριμένες συστάσεις για κάθε τύπο στόχου.

Για όσους υπερασπίζονται τα δίκτυα, συμβούλευσαν τους διαχειριστές δικτύου να παραμείνουν στην κορυφή της διαχείρισης ενημερώσεων κώδικα για ευπάθειες που ανακαλύφθηκαν πρόσφατα, καθώς αυτός είναι ένας κύριος τρόπος εξάπλωσης του Chaos.

“Use the IoCs outlined in this report to monitor for a Chaos infection, as well as connections to any suspicious infrastructure,” the researchers recommended.

Consumers with small office and home office routers should follow best practices of regularly rebooting routers and installing security updates and patches, as well as leveraging properly configured and updated EDR solutions on hosts. These users also should regularly patch software by applying vendors’ updates where applicable.

Απομακρυσμένοι εργαζόμενοι — an attack surface that has significantly increased over the last two years of the pandemic — also are at risk, and should mitigate it by changing default passwords and disabling remote root access on machines that don’t require it, the researchers recommended. Such workers also should store SSH keys securely and only on devices that require them.

Για όλες τις επιχειρήσεις, η Black Lotus Labs συνιστά να εξεταστεί το ενδεχόμενο εφαρμογής ολοκληρωμένων προστασιών για τον μετριασμό της υπηρεσίας ασφαλούς πρόσβασης (SASE) και DDoS για την ενίσχυση της συνολικής στάσης ασφαλείας τους και τη δυνατότητα ισχυρής ανίχνευσης σε επικοινωνίες που βασίζονται στο δίκτυο.