Võimas Chaose pahavara on taas arenenud, muutudes uueks Go-põhiseks mitmeplatvormiliseks ohuks, mis ei sarnane oma varasema lunavara iteratsiooniga. Nüüd sihib see teadaolevaid turvaauke, et käivitada hajutatud teenuse keelamise (DDoS) rünnakuid ja teostada krüptomist.
Lumen Technologiesi ohuluure haru Black Lotus Labsi teadlased jälgisid hiljuti Chaose versiooni, mis on kirjutatud hiina keeles, kasutades Hiina-põhist infrastruktuuri ja käitudes palju erinevalt kui viimane tegevus, mida samanimeline lunavaraehitaja nägi. nad ütlesid In blogi postitus avaldatud 28. sept.
Erinevused kaose varasemate variantide ning 100 erineva ja hiljutise kaoseklastri vahel, mida teadlased täheldasid, on tõepoolest nii erinevad, et nende sõnul kujutab see endast täiesti uut ohtu. Tegelikult usuvad teadlased, et viimane variant on tegelikult areng DDoS-i botnet Kaiji ja võib-olla "erinev Chaose lunavaraehitajast", mida varem looduses nähtud, ütlesid nad.
2020. aastal avastatud Kaiji sihtis algselt Linuxi-põhiseid AMD- ja i386-servereid, kasutades uute robotite nakatamiseks ja seejärel DDoS-i rünnakute käivitamiseks SSH-i jõhkrat sundimist. Teadlased ütlesid, et Chaos on arendanud Kaiji algseid võimalusi, et hõlmata mooduleid uute arhitektuuride jaoks, sealhulgas Windowsi jaoks, ning lisada uusi levimooduleid CVE kasutamise ja SSH-võtmete kogumise kaudu.
Hiljutine kaosetegevus
Viimasel ajal ohustas Chaos edukalt GitLabi serverit ja käivitas hulga DDoS-i rünnakuid, mis olid suunatud mängude, finantsteenuste ja tehnoloogia ning meedia- ja meelelahutustööstusele ning DDoS-i kui teenusepakkujatele ja krüptovaluutavahetusele.
Kaos on nüüd suunatud mitte ainult ettevõtetele ja suurtele organisatsioonidele, vaid ka "seadmetele ja süsteemidele, mida ettevõtte turvamudeli osana rutiinselt ei jälgita, nagu SOHO ruuterid ja FreeBSD OS", ütlesid teadlased.
Ja kuigi viimane kord, kui kaost looduses märgati, toimis see pigem tüüpilise lunavarana, mis sisenes võrkudesse failide krüptimise eesmärgil, on uusima variandi taga tegutsejatel meeles väga erinevad motiivid, ütlesid teadlased.
Selle platvormide- ja seadmeteülene funktsionaalsus ning viimase Chaose tegevuse taga oleva võrguinfrastruktuuri varjatud profiil näivad demonstreerivat, et kampaania eesmärk on arendada nakatunud seadmete võrku, et kasutada ära esialgset juurdepääsu, DDoS-i rünnakuid ja krüptomist. , teadlaste sõnul.
Peamised erinevused ja üks sarnasus
Kui varasemad Chaose näidised on kirjutatud .NET-is, siis uusim pahavara on kirjutatud Go-s, mis on kiiresti muutumas valitud keel Teadlaste sõnul on see ohus osalejatele mõeldud tänu oma platvormideülesele paindlikkusele, madalale viirusetõrje tuvastamise määrale ja raskustele pöördprojekteerimisel.
Ja tõepoolest, üks põhjusi, miks Chaose uusim versioon on nii võimas, on see, et see töötab mitmel platvormil, sealhulgas mitte ainult Windowsi ja Linuxi operatsioonisüsteemidel, vaid ka ARM-i, Inteli (i386), MIPS-i ja PowerPC-ga, ütlesid nad.
Samuti levib see pahavara varasematest versioonidest palju erineval viisil. Kuigi teadlased ei suutnud kindlaks teha selle algset juurdepääsuvektorit, kasutavad uusimad Chaose variandid teadaolevaid haavatavusi viisil, mis näitab kiiret pöördevõimet, kui see süsteemi kätte saab, märkisid teadlased.
"Meie analüüsitud proovide hulgast teatati CVE-d Huawei jaoks (CVE-2017-17215) Ja Zyxel (CVE-2022-30525) isiklikud tulemüürid, mis mõlemad kasutasid autentimata kaugkäsurea sisestamise haavatavusi,“ märkisid nad oma postituses. "Siiski tundub CVE-faili värskendamine näitleja jaoks triviaalne ja meie hinnangul on väga tõenäoline, et näitleja kasutab teisi CVE-sid."
Kaos on tõepoolest läbinud mitmeid kehastusi alates selle esmakordsest ilmnemisest 2021. aasta juunis ja see viimane versioon ei jää tõenäoliselt viimaseks, ütlesid teadlased. Selle esimene iteratsioon, Chaos Builder 1.0–3.0, pidi olema Ryuki lunavara .NET-versiooni koostaja, kuid teadlased märkasid peagi, et see ei sarnane Ryukiga ja oli tegelikult klaasipuhasti.
Pahavara arenes mitmes versioonis kuni Chaose ehitaja neljanda versioonini, mis ilmus 2021. aasta lõpus ja sai tõuke, kui ohurühm nimega Onyx lõi oma lunavara. Sellest versioonist sai kiiresti kõige levinum Chaose väljaanne, mida otse looduses vaadeldi, krüpteerides mõned failid, kuid säilitades ülekirjutuse ja hävitades enamiku oma teel olevatest failidest.
Selle aasta alguses mais Chaose ehitaja vahetas oma klaasipuhasti võimalused krüpteerimise vastu, millele lisandub ümbernimetatud kahendkoodiga Yashma, mis sisaldas täieõiguslikke lunavarafunktsioone.
Kuigi kaose viimane areng, mille tunnistajaks on Black Lotus Labs, on palju erinev, on sellel üks oluline sarnasus oma eelkäijatega – kiire kasv, mis tõenäoliselt niipea ei aeglustu, ütlesid teadlased.
Viimase Chaose variandi varaseim sertifikaat genereeriti 16. aprillil; See on siis, kui teadlased usuvad, et ohus osalejad lasid uue variandi looduses välja.
Sellest ajast peale on Chaose iseallkirjastatud sertifikaatide arv näidanud märgatavat kasvu, mais enam kui kahekordistunud 39-ni ja seejärel augustis 93-ni, ütlesid teadlased. Nad ütlesid, et 20. septembri seisuga on käesolev kuu juba ületanud eelmise kuu koguarvu, genereerides 94 Chaose sertifikaati.
Riskide maandamine kõikjal
Kuna Chaos ründab nüüd ohvreid väikseimatest kodukontorist kuni suurimate ettevõteteni, andsid teadlased igat tüüpi sihtmärkide jaoks konkreetsed soovitused.
Neile, kes kaitsevad võrke, soovitasid nad, et võrguadministraatorid jälgiksid äsja avastatud haavatavuste paikade haldamist, kuna see on peamine viis kaose levikuks.
"Kasutage selles aruandes kirjeldatud IoC-sid, et jälgida kaose nakatumist ja ühendusi mis tahes kahtlase infrastruktuuriga," soovitasid teadlased.
Tarbijad, kellel on väikesed kontori- ja kodukontori ruuterid, peaksid järgima ruuterite korrapärase taaskäivitamise ja turvavärskenduste ja -paikade installimise parimaid tavasid, samuti hostides õigesti konfigureeritud ja värskendatud EDR-lahendusi. Need kasutajad peaksid ka regulaarselt tarkvara parandama, rakendades vajaduse korral tarnijate värskendusi.
Kaugtöötajad Teadlased soovitasid, et ründepind, mis on pandeemia viimase kahe aasta jooksul märkimisväärselt suurenenud, on samuti ohus ja peaks seda leevendama vaikeparoolide muutmise ja juurjuurdepääsu kaugjuurdepääsu keelamisega masinates, mis seda ei vaja. Sellised töötajad peaksid ka SSH-võtmeid säilitama turvaliselt ja ainult neid nõudvates seadmetes.
Kõigil ettevõtetel soovitab Black Lotus Labs kaaluda kõikehõlmavate turvalise juurdepääsu teenuse serva (SASE) ja DDoS-i leevenduskaitsete rakendamist, et tugevdada nende üldist turvalisust ja võimaldada võrgupõhises suhtluses tugevat tuvastamist.
