Den kraftige Chaos-malwaren har utviklet seg nok en gang, og forvandlet seg til en ny Go-basert, multiplattform-trussel som ikke ligner på dens tidligere løsepengevare-iterasjon. Den retter seg nå mot kjente sikkerhetssårbarheter for å starte DDoS-angrep (distribuerte denial-of-service) og utføre kryptominering.
Forskere fra Black Lotus Labs, trusselintelligensarmen til Lumen Technologies, observerte nylig en versjon av Chaos skrevet på kinesisk, som utnytter Kina-basert infrastruktur, og viser atferd som er langt annerledes enn den siste aktiviteten som ble sett av løsepengevarebyggeren med samme navn, sa de i et blogginnlegg publisert 28. sept.
Forskjellene mellom tidligere varianter av Chaos og de 100 distinkte og nyere Chaos-klyngene som forskere observerte, er faktisk så forskjellige at de sier det utgjør en helt ny trussel. Faktisk mener forskere at den nyeste varianten faktisk er utviklingen av DDoS botnett Kaiji og kanskje "forskjellig fra Chaos løsepengevarebyggeren" tidligere sett i naturen, sa de.
Kaiji, oppdaget i 2020, målrettet opprinnelig Linux-baserte AMD- og i386-servere ved å utnytte SSH-brute-forcing for å infisere nye roboter og deretter starte DDoS-angrep. Chaos har utviklet Kaijis originale evner til å inkludere moduler for nye arkitekturer – inkludert Windows – i tillegg til å legge til nye forplantningsmoduler gjennom CVE-utnyttelse og SSH-nøkkelhøsting, sa forskerne.
Nylig kaosaktivitet
I nyere aktivitet kompromitterte Chaos med suksess en GitLab-server og utløste en rekke DDoS-angrep rettet mot spill, finansielle tjenester og teknologi, og medie- og underholdningsindustrien, sammen med DDoS-som-en-tjenesteleverandører og en kryptovalutabørs.
Chaos retter seg nå ikke bare mot bedrifter og store organisasjoner, men også "enheter og systemer som ikke rutinemessig overvåkes som en del av en bedriftssikkerhetsmodell, for eksempel SOHO-rutere og FreeBSD OS," sa forskerne.
Og mens forrige gang Chaos ble oppdaget i naturen fungerte det mer som typisk løsepengevare som kom inn i nettverk med det formål å kryptere filer, har aktørene bak den siste varianten svært forskjellige motiver i tankene, sa forskerne.
Dens tverrplattform- og enhetsfunksjonalitet samt stealth-profilen til nettverksinfrastrukturen bak den siste Chaos-aktiviteten ser ut til å demonstrere at målet med kampanjen er å dyrke et nettverk av infiserte enheter for å utnytte for førstegangstilgang, DDoS-angrep og kryptominering , ifølge forskerne.
Viktige forskjeller og én likhet
Mens tidligere prøver av Chaos ble skrevet i .NET, er den nyeste skadevare skrevet i Go, som raskt er i ferd med å bli en valgspråk for trusselaktører på grunn av fleksibiliteten på tvers av plattformer, lave antivirusdeteksjonshastigheter og vanskelighetene med å reversere, sa forskerne.
Og faktisk, en av grunnene til at den nyeste versjonen av Chaos er så kraftig er fordi den opererer på tvers av flere plattformer, inkludert ikke bare Windows- og Linux-operativsystemer, men også ARM, Intel (i386), MIPS og PowerPC, sa de.
Den forplanter seg også på en helt annen måte enn tidligere versjoner av skadelig programvare. Mens forskere ikke var i stand til å fastslå den første tilgangsvektoren, når den først tar tak i et system, utnytter de siste Chaos-variantene kjente sårbarheter på en måte som viser evnen til å svinge raskt, bemerket forskerne.
"Blant prøvene vi analyserte ble rapportert CVE-er for Huawei (CVE-2017-17215) Og Zyxel (CVE-2022-30525) personlige brannmurer, som begge utnyttet uautentiserte sårbarheter for ekstern kommandolinjeinjeksjon,» observerte de i innlegget sitt. "Men CVE-filen virker triviell for skuespilleren å oppdatere, og vi vurderer det er svært sannsynlig at skuespilleren utnytter andre CVEer."
Kaos har faktisk gått gjennom en rekke inkarnasjoner siden det først dukket opp i juni 2021, og denne siste versjonen er sannsynligvis ikke den siste, sa forskerne. Dens første iterasjon, Chaos Builder 1.0-3.0, påsto å være en bygger for en .NET-versjon av Ryuk løsepengeprogramvare, men forskerne la snart merke til at den lignet lite på Ryuk og faktisk var en visker.
Skadevaren utviklet seg over flere versjoner frem til versjon fire av Chaos-byggeren som ble utgitt sent i 2021 og fikk et løft da en trusselgruppe ved navn Onyx skapte sin egen løsepengevare. Denne versjonen ble raskt den vanligste Chaos-utgaven som ble observert direkte i naturen, og krypteret noen filer, men ble overskrevet og ødela de fleste filene i veien.
Tidligere i år i mai kom Kaosbyggeren byttet sine viskerfunksjoner for kryptering, dukket opp med en omdøpt binær kalt Yashma som inkorporerte fullverdige løsepengevarefunksjoner.
Selv om den siste utviklingen av Chaos som ble vitne til av Black Lotus Labs er langt forskjellig, har den en betydelig likhet med forgjengerne - rask vekst som neppe vil avta når som helst snart, sa forskerne.
Det tidligste sertifikatet for den siste Chaos-varianten ble generert 16. april; det er senere da forskere mener trusselaktører lanserte den nye varianten i naturen.
Siden den gang har antallet Chaos selvsignerte sertifikater vist "markert vekst", mer enn doblet i mai til 39 og deretter hoppet til 93 for august måned, sa forskerne. Per 20. september har inneværende måned allerede overgått forrige måneds totalsum med genereringen av 94 Chaos-sertifikater, sa de.
Redusere risiko over hele linjen
Fordi Chaos nå angriper ofre fra de minste hjemmekontorene til de største foretakene, ga forskere spesifikke anbefalinger for hver type mål.
For de som forsvarer nettverk, rådet de til at nettverksadministratorer holder seg på toppen av patchadministrasjon for nylig oppdagede sårbarheter, siden dette er en hovedmåte Chaos sprer seg på.
"Bruk IoC-ene som er skissert i denne rapporten for å overvåke for en kaos-infeksjon, så vel som forbindelser til enhver mistenkelig infrastruktur," anbefalte forskerne.
Forbrukere med små kontor- og hjemmekontorrutere bør følge beste praksis for regelmessig omstart av rutere og installering av sikkerhetsoppdateringer og patcher, samt utnytte riktig konfigurerte og oppdaterte EDR-løsninger på verter. Disse brukerne bør også regelmessig lappe programvare ved å bruke leverandørers oppdateringer der det er aktuelt.
Fjernarbeidere - en angrepsoverflate som har økt betydelig i løpet av de siste to årene av pandemien - er også i fare, og bør dempe den ved å endre standardpassord og deaktivere ekstern rottilgang på maskiner som ikke krever det, anbefalte forskerne. Slike arbeidere bør også lagre SSH-nøkler sikkert og bare på enheter som krever dem.
For alle virksomheter anbefaler Black Lotus Labs å vurdere bruken av omfattende sikkerhetsadgangstjenester (SASE) og DDoS-begrensningsbeskyttelse for å styrke deres generelle sikkerhetsstillinger og muliggjøre robust deteksjon på nettverksbasert kommunikasjon.
