강력한 Chaos 악성 코드는 다시 한 번 진화하여 이전 랜섬웨어 반복과 전혀 유사하지 않은 새로운 Go 기반 다중 플랫폼 위협으로 변모했습니다. 이제 알려진 보안 취약점을 표적으로 삼아 DDoS(분산 서비스 거부) 공격을 시작하고 암호화폐 채굴을 수행하고 있습니다.
Lumen Technologies의 위협 인텔리전스 부문인 Black Lotus Labs의 연구원들은 최근 중국 기반 인프라를 활용하여 중국어로 작성된 Chaos 버전을 관찰했으며, 동일한 이름의 랜섬웨어 개발자가 마지막으로 본 활동과 훨씬 다른 행동을 보였습니다. 그들은 말했다 블로그 게시물에서 28월 XNUMX일 발행.
실제로 연구자들이 관찰한 카오스의 초기 변종과 최근에 발견된 100개의 카오스 클러스터 사이의 차이점은 너무 달라서 완전히 새로운 위협을 제기한다고 말합니다. 실제로 연구자들은 최신 변종이 실제로는 DDoS 봇넷 카이지 아마도 이전에 야생에서 볼 수 있었던 "Chaos 랜섬웨어 빌더와는 구별될 것"이라고 그들은 말했습니다.
2020년에 발견된 Kaiji는 원래 SSH 무차별 공격을 활용하여 새로운 봇을 감염시킨 후 DDoS 공격을 실행하는 방식으로 Linux 기반 AMD 및 i386 서버를 표적으로 삼았습니다. Chaos는 Windows를 포함한 새로운 아키텍처용 모듈을 포함하고 CVE 활용 및 SSH 키 수집을 통해 새로운 전파 모듈을 추가하도록 Kaiji의 원래 기능을 발전시켰다고 연구진은 말했습니다.
최근 카오스 활동
최근 활동에서 Chaos는 GitLab 서버를 성공적으로 손상시키고 게임, 금융 서비스 및 기술, 미디어 및 엔터테인먼트 산업, 서비스형 DDoS 제공업체 및 암호화폐 거래소를 표적으로 삼아 수많은 DDoS 공격을 퍼부었습니다.
카오스는 이제 기업과 대규모 조직뿐만 아니라 "SOHO 라우터 및 FreeBSD OS와 같이 기업 보안 모델의 일부로 정기적으로 모니터링되지 않는 장치 및 시스템"도 표적으로 삼고 있다고 연구진은 말했습니다.
마지막으로 Chaos가 야생에서 발견되었을 때 파일을 암호화할 목적으로 네트워크에 진입하는 일반적인 랜섬웨어처럼 행동했지만 최신 변종의 배후에 있는 공격자들은 매우 다른 동기를 염두에 두고 있다고 연구원들은 말했습니다.
크로스 플랫폼 및 장치 기능뿐만 아니라 최신 Chaos 활동 뒤에 있는 네트워크 인프라의 스텔스 프로필은 캠페인의 목적이 초기 액세스, DDoS 공격 및 암호화폐 채굴에 활용할 감염된 장치의 네트워크를 구축하는 것임을 보여주는 것으로 보입니다. , 연구진에 따르면.
주요 차이점과 한 가지 유사점
이전 Chaos 샘플은 .NET으로 작성되었지만 최신 악성코드는 Go로 작성되었습니다. 선택한 언어 연구원들은 크로스 플랫폼 유연성, 낮은 바이러스 백신 탐지율, 리버스 엔지니어링의 어려움으로 인해 위협 행위자에게 적합하다고 말했습니다.
그리고 실제로 최신 버전의 Chaos가 그토록 강력한 이유 중 하나는 Windows 및 Linux 운영 체제뿐만 아니라 ARM, Intel(i386), MIPS 및 PowerPC를 포함한 여러 플랫폼에서 작동하기 때문이라고 그들은 말했습니다.
또한 이전 버전의 악성코드와는 훨씬 다른 방식으로 전파됩니다. 연구원들은 초기 액세스 벡터를 확인할 수 없었지만 일단 시스템을 장악하면 최신 카오스 변종은 빠르게 전환하는 능력을 보여주는 방식으로 알려진 취약점을 악용한다고 연구원들은 지적했습니다.
“우리가 분석한 샘플 중에는 Huawei의 CVE (CVE-2017-17215) and ZYXEL (CVE-2022-30525) 개인 방화벽은 둘 다 인증되지 않은 원격 명령줄 주입 취약점을 활용했습니다.”라고 그들은 게시물에서 관찰했습니다. "그러나 CVE 파일은 행위자가 업데이트하기에는 사소한 것으로 보이며 우리는 행위자가 다른 CVE를 활용할 가능성이 높다고 평가합니다."
카오스는 2021년 1.0월 처음 등장한 이후 실제로 수많은 화신을 거쳤으며 이번 최신 버전이 마지막 버전이 아닐 가능성이 높다고 연구진은 말했습니다. 첫 번째 버전인 Chaos Builder 3.0-XNUMX은 Ryuk 랜섬웨어의 .NET 버전을 위한 빌더로 알려져 있지만 연구원들은 곧 이 랜섬웨어가 Ryuk과 거의 유사하지 않으며 실제로는 와이퍼라는 사실을 발견했습니다.
이 악성코드는 2021년 후반에 출시된 Chaos 빌더 버전 XNUMX까지 여러 버전으로 진화했으며 Onyx라는 위협 그룹이 자체 랜섬웨어를 생성하면서 힘을 얻었습니다. 이 버전은 일부 파일을 암호화하지만 해당 경로에 있는 대부분의 파일을 덮어쓰고 삭제하면서 야생에서 직접적으로 관찰되는 가장 일반적인 Chaos 버전이 되었습니다.
올해 초 5월에 Chaos 빌더는 암호화를 위해 와이퍼 기능을 교환했습니다., 완전한 랜섬웨어 기능을 통합한 Yashma라는 이름의 리브랜딩 바이너리로 등장했습니다.
Black Lotus Labs가 목격한 가장 최근의 카오스 진화는 크게 다르지만 이전 버전과 한 가지 중요한 유사점을 가지고 있습니다. 즉 빠른 성장이 조만간 둔화될 것 같지 않다고 연구원들은 말했습니다.
최신 Chaos 변종의 최초 인증서는 16월 XNUMX일에 생성되었습니다. 연구원들은 위협 행위자가 새로운 변종을 실제로 출시했다고 믿고 있습니다.
그 이후로 Chaos 자체 서명 인증서의 수는 39월에 93개로 두 배 이상 증가한 다음 20월 한 달 동안 94개로 급증하는 등 "눈에 띄는 성장"을 보였습니다. XNUMX월 XNUMX일 기준으로 이번 달 카오스 인증서 XNUMX개가 생성돼 이미 전월 합계를 넘어섰다고 밝혔다.
전반적인 위험 완화
Chaos는 이제 소규모 홈 오피스부터 대기업까지 피해자를 공격하고 있기 때문에 연구원들은 각 대상 유형에 대해 구체적인 권장 사항을 제시했습니다.
네트워크를 방어하는 사람들의 경우 네트워크 관리자가 새로 발견된 취약점에 대한 패치 관리를 최고 수준으로 유지해야 한다고 조언했습니다. 이것이 카오스가 확산되는 주요 방법이기 때문입니다.
연구원들은 “이 보고서에 설명된 IoC를 사용하여 카오스 감염은 물론 의심스러운 인프라에 대한 연결을 모니터링할 수 있습니다.”라고 권장했습니다.
소규모 사무실 및 홈 오피스 라우터를 사용하는 소비자는 정기적으로 라우터를 재부팅하고 보안 업데이트와 패치를 설치하는 것뿐만 아니라 호스트에서 적절하게 구성 및 업데이트된 EDR 솔루션을 활용하는 모범 사례를 따라야 합니다. 또한 이러한 사용자는 해당되는 경우 공급업체의 업데이트를 적용하여 소프트웨어를 정기적으로 패치해야 합니다.
원격 작업자 지난 2년 동안 대유행으로 인해 크게 증가한 공격 표면 역시 위험에 처해 있으며, 기본 비밀번호를 변경하고 비밀번호가 필요하지 않은 시스템에서 원격 루트 액세스를 비활성화하여 이를 완화해야 한다고 연구원들은 권고했습니다. 또한 이러한 작업자는 SSH 키를 필요한 장치에만 안전하게 저장해야 합니다.
Black Lotus Labs는 모든 기업에 대해 전반적인 보안 상태를 강화하고 네트워크 기반 통신에 대한 강력한 탐지를 활성화하기 위해 포괄적인 SASE(Secure Access Service Edge) 및 DDoS 완화 보호 적용을 고려할 것을 권장합니다.
