Tehokas Chaos-haittaohjelma on jälleen kehittynyt ja muuttunut uudeksi Go-pohjaiseksi, monikäyttöiseksi uhkaksi, joka ei muistuta yhtään sen aiemman kiristysohjelman iteraatiosta. Se kohdistuu nyt tunnettuihin tietoturva-aukoihin käynnistääkseen hajautettuja palvelunestohyökkäyksiä (DDoS) ja suorittaakseen kryptominointia.
Lumen Technologiesin uhkatiedusteluosaston Black Lotus Labsin tutkijat havaitsivat äskettäin kiinaksi kirjoitetun Chaos-version, joka hyödyntää Kiinassa sijaitsevaa infrastruktuuria ja käyttäytyy paljon eri tavalla kuin samannimisen kiristysohjelmien rakentajan viimeksi näkemä toiminta. he sanoivat kirjoitusta julkaistu 28. syyskuuta.
Erot kaaoksen aikaisempien varianttien ja 100 erillisen ja viimeaikaisen kaaosklusterin välillä, jotka tutkijat havaitsivat, ovat todellakin niin erilaisia, että he sanovat sen muodostavan aivan uuden uhan. Itse asiassa tutkijat uskovat, että uusin variantti on itse asiassa evoluutio DDoS-botnet Kaiji He sanoivat, että he sanoivat, että ne ovat "erillisiä Chaos ransomware -rakentajasta", joka on aiemmin nähty luonnossa.
Vuonna 2020 löydetty Kaiji kohdistaa alun perin Linux-pohjaisiin AMD- ja i386-palvelimiin hyödyntämällä SSH:n raakaa pakottamista tartuttaakseen uusia botteja ja käynnistääkseen sitten DDoS-hyökkäyksiä. Chaos on kehittänyt Kaijin alkuperäisiä ominaisuuksia sisältämään moduuleja uusille arkkitehtuureille - mukaan lukien Windows - sekä lisäämään uusia etenemismoduuleja CVE-hyödyntämisen ja SSH-avainten keräämisen avulla, tutkijat sanoivat.
Viimeaikainen kaaostoiminta
Viimeaikaisessa toiminnassa Chaos onnistui murskaamaan GitLab-palvelimen ja avannut joukon DDoS-hyökkäyksiä, jotka kohdistuivat peli-, rahoitus- ja teknologia-, media- ja viihdeteollisuuteen sekä DDoS-palveluntarjoajiin ja kryptovaluuttapörssiin.
Chaos ei kohdistu nyt vain yrityksiin ja suuriin organisaatioihin, vaan myös "laitteisiin ja järjestelmiin, joita ei valvota rutiininomaisesti osana yrityksen tietoturvamallia, kuten SOHO-reitittimiä ja FreeBSD-käyttöjärjestelmää", tutkijat sanoivat.
Ja vaikka viimeksi kun kaaos havaittiin luonnossa, se toimi enemmän tyypillisenä kiristysohjelmistona, joka saapui verkkoihin salaamaan tiedostoja, viimeisimmän muunnelman taustalla olevilla toimijoilla on hyvin erilaiset motiivit mielessään, tutkijat sanoivat.
Sen eri alustojen ja laitteiden toiminnallisuus sekä viimeisimmän Chaos-toiminnan takana olevan verkkoinfrastruktuurin varkain profiili näyttävät osoittavan, että kampanjan tavoitteena on viljellä tartunnan saaneiden laitteiden verkostoa, joka hyödyntää alkupääsyä, DDoS-hyökkäyksiä ja kryptominointia. tutkijoiden mukaan.
Keskeiset erot ja yksi samankaltaisuus
Vaikka aiemmat näytteet Chaosista kirjoitettiin .NET-muodossa, uusin haittaohjelma on kirjoitettu Go:lla, josta on nopeasti tulossa valittava kieli uhkatoimijoille sen useiden alustojen joustavuuden, alhaisten virustentorjuntamäärien ja käänteissuunnittelun vaikeuden vuoksi, tutkijat sanoivat.
Ja todellakin, yksi syy siihen, miksi Chaosin uusin versio on niin tehokas, on se, että se toimii useilla alustoilla, mukaan lukien Windows- ja Linux-käyttöjärjestelmien lisäksi myös ARM, Intel (i386), MIPS ja PowerPC, he sanoivat.
Se leviää myös paljon eri tavalla kuin haittaohjelman aiemmat versiot. Vaikka tutkijat eivät pystyneet varmistamaan sen alkuperäistä pääsyvektoria, kun se ottaa järjestelmän haltuunsa, uusimmat Chaos-muunnelmat hyödyntävät tunnettuja haavoittuvuuksia tavalla, joka osoittaa kykyä kääntyä nopeasti, tutkijat huomauttivat.
”Analysoimistamme näytteistä kerrottiin CVE:t Huaweille (CVE-2017-17215) Ja Zyxel (CVE-2022-30525) henkilökohtaiset palomuurit, jotka molemmat hyödynsivät todentamattomia komentorivin lisäyshaavoittuvuuksia", he huomauttivat viestissään. "CVE-tiedosto näyttää kuitenkin triviaalilta näyttelijän päivittämiselle, ja arvioimme, että on erittäin todennäköistä, että näyttelijä hyödyntää muita CVE:itä."
Kaaos on todellakin käynyt läpi lukuisia inkarnaatioita sen jälkeen, kun se ilmestyi ensimmäisen kerran kesäkuussa 2021, ja tämä uusin versio ei todennäköisesti jää sen viimeiseksi, tutkijat sanoivat. Sen ensimmäinen iteraatio, Chaos Builder 1.0-3.0, väitti olevan Ryuk-lunnasohjelman .NET-version rakentaja, mutta tutkijat huomasivat pian, että se ei juurikaan muistuttanut Ryukia ja oli itse asiassa pyyhin.
Haittaohjelma kehittyi useissa versioissa aina vuoden 2021 lopulla julkaistuun Chaos Builderin versioon neljä asti, ja se sai lisäpotkua, kun Onyx-niminen uhkaryhmä loi oman kiristysohjelmansa. Tästä versiosta tuli nopeasti yleisin suoraan luonnossa havaittu Chaos-versio, joka salasi jotkin tiedostot, mutta säilytti päällekirjoituksen ja tuhosi suurimman osan tieltään olevista tiedostoista.
Aiemmin tänä vuonna toukokuussa Chaos rakentaja vaihtoi pyyhintoimintonsa salaukseen, joka nousi pinnalle Yashmaksi nimetyllä binäärinimellä, joka sisälsi täydelliset lunnasohjelmaominaisuudet.
Vaikka viimeisin Black Lotus Labsin todistama Chaos-evoluutio on paljon erilainen, sillä on yksi merkittävä samankaltaisuus edeltäjiensä kanssa - nopea kasvu, joka ei todennäköisesti hidastu milloinkaan pian, tutkijat sanoivat.
Uusimman Chaos-variantin aikaisin sertifikaatti luotiin 16. huhtikuuta; Tämä on myöhemmin, kun tutkijat uskovat, että uhkatoimijat lanseerasivat uuden muunnelman luonnossa.
Siitä lähtien Chaosin itse allekirjoitettujen sertifikaattien määrä on osoittanut "merkittävää kasvua", yli kaksinkertaistuen toukokuussa 39:ään ja sitten hyppäämällä 93:een elokuussa, tutkijat sanoivat. Syyskuun 20. päivänä kuluva kuukausi on jo ylittänyt edellisen kuukauden kokonaismäärän 94 Chaos-sertifikaatin sukupolvella, he sanoivat.
Riskien vähentäminen kautta linjan
Koska Chaos hyökkää nyt uhrien kimppuun pienimmistä kotitoimistoista suuriin yrityksiin, tutkijat tekivät erityisiä suosituksia jokaiselle kohteelle.
Verkkoja puolustaville he neuvoivat, että verkon ylläpitäjät pysyisivät ajan tasalla uusien haavoittuvuuksien varalta, koska tämä on pääasiallinen kaaoksen leviämistapa.
"Käytä tässä raportissa esitettyjä IoC:itä valvoaksesi Chaos-infektiota sekä yhteyksiä kaikkiin epäilyttävään infrastruktuuriin", tutkijat suosittelivat.
Kuluttajien, joilla on pieniä toimisto- ja kotitoimistoreitittimiä, tulee noudattaa parhaita käytäntöjä reitittimien säännöllisestä uudelleenkäynnistämisestä ja tietoturvapäivitysten ja -korjausten asentamisesta sekä oikein määritettyjen ja päivitettyjen EDR-ratkaisujen hyödyntämisestä isännissä. Näiden käyttäjien tulee myös säännöllisesti korjata ohjelmistoja asentamalla toimittajien päivityksiä tarvittaessa.
Etätyöntekijät – hyökkäyspinta, joka on kasvanut merkittävästi pandemian kahden viime vuoden aikana – ovat myös vaarassa, ja sen pitäisi lieventää sitä vaihtamalla oletussalasanat ja estämällä etäpääsypääsy koneista, jotka eivät sitä vaadi, tutkijat suosittelivat. Tällaisten työntekijöiden tulisi myös säilyttää SSH-avaimia turvallisesti ja vain niitä vaativissa laitteissa.
Black Lotus Labs suosittelee kaikille yrityksille harkitsemaan kattavan SASE (Secure Access Service Edge) ja DDoS-mittaussuojauksen käyttöä yleisten suojausasemien vahvistamiseksi ja verkkopohjaisen viestinnän tehokkaan havaitsemisen mahdollistamiseksi.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
