強力な Chaos マルウェアは再び進化し、以前のランサムウェアとは似ても似つかない、新しい Go ベースのマルチプラットフォームの脅威に姿を変えました。 現在、既知のセキュリティ脆弱性をターゲットにして、分散型サービス拒否 (DDoS) 攻撃を開始し、クリプトマイニングを実行しています。
Lumen Technologies の脅威インテリジェンス部門である Black Lotus Labs の研究者は、最近、中国語で書かれたバージョンの Chaos が、中国を拠点とするインフラストラクチャを活用し、同名のランサムウェア作成者が最後に確認した活動とは大きく異なる動作を示していることを観察しました。彼らは言った ブログの記事で 28 月 XNUMX 日に公開されました。
実際、カオスの初期の亜種と、研究者が観察した 100 個の個別のカオス クラスターと最近のカオス クラスターとの違いは非常に異なっており、これはまったく新しい脅威をもたらすと研究者らは述べています。 実際、研究者らは、最新の亜種は実際には、 DDoSボットネットKaiji おそらく、これまでに実地で確認された「Chaos ランサムウェア ビルダーとは異なる」ものである可能性がある、と彼らは述べています。
2020 年に発見された Kaiji は、当初、SSH ブルート フォースを利用して新しいボットに感染し、DDoS 攻撃を開始することで、Linux ベースの AMD および i386 サーバーをターゲットにしていました。 Chaos は、Kaiji のオリジナル機能を進化させ、Windows を含む新しいアーキテクチャ用のモジュールを組み込んだほか、CVE の利用や SSH キーの収集を通じて新しい伝播モジュールを追加したと研究者らは述べています。
最近のカオスアクティビティ
最近の活動では、Chaos は GitLab サーバーを侵害することに成功し、ゲーム、金融サービスとテクノロジー、メディアとエンターテイメント業界、さらには DDoS-as-a-service プロバイダーや仮想通貨取引所をターゲットに一連の DDoS 攻撃を展開しました。
Chaosは現在、企業や大規模組織だけでなく、「SOHOルーターやFreeBSD OSなど、企業セキュリティモデルの一部として日常的に監視されていないデバイスやシステム」もターゲットにしていると研究者らは述べた。
そして、前回Chaosが野生で発見されたときは、ファイルを暗号化する目的でネットワークに侵入する典型的なランサムウェアとして動作していたが、最新の亜種の背後にある攻撃者は全く異なる動機を念頭に置いていると研究者らは述べた。
そのクロスプラットフォームおよびデバイス機能と、最新の Chaos 活動の背後にあるネットワーク インフラストラクチャのステルス プロファイルは、このキャンペーンの目的が、初期アクセス、DDoS 攻撃、クリプトマイニングに利用する感染デバイスのネットワークを育成することであることを示しているようです。 、研究者らによると。
主な違いと XNUMX つの類似点
Chaos の以前のサンプルは .NET で書かれていましたが、最新のマルウェアは Go で書かれており、急速に普及しつつあります。 選択した言語 研究者らによると、クロスプラットフォームの柔軟性、ウイルス対策の検出率の低さ、リバースエンジニアリングの難しさなどの理由から、攻撃者にとっては危険な存在だという。
そして実際、Chaos の最新バージョンが非常に強力である理由の 386 つは、Windows や Linux オペレーティング システムだけでなく、ARM、Intel (iXNUMX)、MIPS、PowerPC などの複数のプラットフォームで動作するためである、と彼らは述べています。
また、以前のバージョンのマルウェアとは大きく異なる方法で伝播します。 研究者らは、その最初のアクセス経路を確認することはできなかったが、ひとたびシステムに侵入すると、最新のChaos亜種は急速に方向転換する能力を示す方法で既知の脆弱性を悪用すると指摘した。
「私たちが分析したサンプルの中には、 Huawei 向け CVE (CVE-2017-17215)と ZYXEL (CVE-2022-30525) パーソナル ファイアウォール、どちらも認証されていないリモート コマンド ライン インジェクションの脆弱性を悪用していました」と彼らは投稿の中で述べています。 「しかし、攻撃者にとって CVE ファイルを更新するのは簡単ではないようで、攻撃者が他の CVE を利用している可能性が高いと我々は判断しています。」
Chaosは2021年1.0月に初めて出現して以来、実際に数多くの化身を経ており、今回の最新バージョンが最後になる可能性は低いと研究者らは述べた。 その最初のバージョンである Chaos Builder 3.0-XNUMX は、Ryuk ランサムウェアの .NET バージョンのビルダーであると称していましたが、研究者らはすぐに、それが Ryuk とはほとんど似ておらず、実際にはワイパーであることに気付きました。
このマルウェアは、2021 年後半にリリースされた Chaos ビルダーのバージョン XNUMX まで、いくつかのバージョンを経て進化しましたが、Onyx という名前の脅威グループが独自のランサムウェアを作成したことで勢いが増しました。 このバージョンはすぐに、実際に直接観察される最も一般的な Chaos エディションとなり、一部のファイルは暗号化されますが、パス内のほとんどのファイルは上書きされて破壊されたままになります。
今年の XNUMX 月初め、カオス ビルダーは ワイパー機能を暗号化と引き換えにしました、本格的なランサムウェア機能を組み込んだ、Yashma と呼ばれるブランド変更されたバイナリが表面化しました。
Black Lotus Labs が目撃した Chaos の最新の進化は大きく異なりますが、前任者との大きな類似点が XNUMX つあります。それは、すぐに減速する可能性が低い急速な成長であると研究者らは述べています。
最新の Chaos 亜種の最初の証明書は 16 月 XNUMX 日に生成されました。 研究者らはこの時点で、攻撃者が新たな亜種を世に送り出したと考えています。
それ以来、Chaos の自己署名証明書の数は「顕著な増加」を示し、39 月には 93 倍以上の 20 に増加し、94 月には XNUMX に急増したと研究者らは述べています。 XNUMX月XNUMX日の時点で、今月はすでにXNUMX個のChaos証明書が生成され、前月の合計を上回ったという。
全体的なリスクの軽減
Chaos は現在、小規模なホーム オフィスから最大規模の企業まで被害者を攻撃しているため、研究者はターゲットの種類ごとに具体的な推奨事項を作成しました。
ネットワークを防御する人々に対し、ネットワーク管理者は、新たに発見された脆弱性に対するパッチ管理を常に最新の状態に保つようアドバイスした。これは、これがカオスを広める主な方法だからである。
「このレポートで概説されている IoC を使用して、Chaos 感染や疑わしいインフラへの接続を監視すること」と研究者らは推奨しています。
小規模オフィスやホームオフィスのルーターを使用している消費者は、ルーターを定期的に再起動し、セキュリティ更新プログラムとパッチをインストールし、ホスト上で適切に構成および更新された EDR ソリューションを活用するというベスト プラクティスに従う必要があります。 これらのユーザーは、必要に応じてベンダーのアップデートを適用して、定期的にソフトウェアにパッチを適用する必要もあります。
リモートワーカー パンデミックの過去 XNUMX 年間で大幅に増加した攻撃対象領域もリスクにさらされており、デフォルトのパスワードを変更し、リモート ルート アクセスを必要としないマシンではリモート ルート アクセスを無効にすることでリスクを軽減する必要があると研究者らは推奨しています。 このような作業者は、SSH キーを必要とするデバイスにのみ安全に保管する必要もあります。
Black Lotus Labs は、すべての企業に対して、全体的なセキュリティ体制を強化し、ネットワークベースの通信での堅牢な検出を可能にするために、包括的なセキュア アクセス サービス エッジ (SASE) と DDoS 軽減保護の適用を検討することを推奨しています。
