Мощное вредоносное ПО Chaos снова эволюционировало, превратившись в новую многоплатформенную угрозу на базе Go, которая не имеет никакого сходства с предыдущей версией программы-вымогателя. Теперь он нацелен на известные уязвимости безопасности для запуска распределенных атак типа «отказ в обслуживании» (DDoS) и выполнения криптомайнинга.
Исследователи из Black Lotus Labs, подразделения Lumen Technologies по анализу угроз, недавно наблюдали версию Chaos, написанную на китайском языке, использующую китайскую инфраструктуру и демонстрирующую поведение, сильно отличающееся от последней активности, замеченной одноименным создателем программ-вымогателей. Они сказали в блоге опубликовано 28 сентября.
Действительно, различия между более ранними вариантами Хаоса и 100 отдельными и недавними кластерами Хаоса, которые наблюдали исследователи, настолько различны, что они говорят, что это представляет собой совершенно новую угрозу. На самом деле, исследователи считают, что последний вариант на самом деле является эволюцией DDoS-ботнет Kaiji и, возможно, «отличается от разработчика программ-вымогателей Chaos», ранее встречавшихся в дикой природе, сказали они.
Kaiji, обнаруженный в 2020 году, первоначально был нацелен на серверы AMD и i386 на базе Linux, используя брутфорс SSH для заражения новых ботов, а затем запуска DDoS-атак. По словам исследователей, Chaos развил первоначальные возможности Kaiji, включив в него модули для новых архитектур, включая Windows, а также добавив новые модули распространения посредством эксплуатации CVE и сбора ключей SSH.
Недавняя активность хаоса
В недавней деятельности Chaos успешно скомпрометировал сервер GitLab и развернул серию DDoS-атак, направленных на игровые, финансовые услуги и технологии, медиа и индустрию развлечений, а также на поставщиков DDoS-услуг и криптовалютную биржу.
Хаос теперь нацелен не только на предприятия и крупные организации, но также на «устройства и системы, которые не контролируются регулярно в рамках модели безопасности предприятия, такие как маршрутизаторы SOHO и ОС FreeBSD», говорят исследователи.
И хотя в последний раз, когда Chaos был замечен в дикой природе, он действовал скорее как типичная программа-вымогатель, которая проникала в сети с целью шифрования файлов, у участников последней версии совершенно другие мотивы, говорят исследователи.
Его кросс-платформенная и аппаратная функциональность, а также скрытый профиль сетевой инфраструктуры, стоящей за последней активностью Chaos, по-видимому, демонстрируют, что цель кампании — создать сеть зараженных устройств для использования для первоначального доступа, DDoS-атак и криптомайнинга. , по мнению исследователей.
Ключевые различия и одно сходство
В то время как предыдущие образцы Chaos были написаны на .NET, последняя вредоносная программа написана на Go, который быстро становится язык выбора Исследователи заявили, что для злоумышленников из-за его кросс-платформенной гибкости, низкой скорости обнаружения антивируса и сложности реинжиниринга.
И действительно, одна из причин того, что последняя версия Chaos настолько мощна, заключается в том, что она работает на нескольких платформах, включая не только операционные системы Windows и Linux, но и ARM, Intel (i386), MIPS и PowerPC.
Он также распространяется совершенно иначе, чем предыдущие версии вредоносного ПО. Исследователи отметили, что хотя исследователям не удалось установить его первоначальный вектор доступа, как только он завладел системой, последние варианты Chaos используют известные уязвимости таким образом, что демонстрирует способность быстро меняться.
«Среди образцов, которые мы проанализировали, были зарегистрированы CVE для Huawei (CVE-2017-17215) и расширение Zyxel (CVE-2022-30525) персональные брандмауэры, оба из которых использовали уязвимости удаленного внедрения командной строки без аутентификации», — отметили они в своем посте. «Тем не менее, файл CVE кажется тривиальным для обновления злоумышленником, и мы считаем, что весьма вероятно, что злоумышленник использует другие CVE».
Исследователи заявили, что Хаос действительно претерпел множество воплощений с момента своего первого появления в июне 2021 года, и эта последняя версия вряд ли будет последней. Его первая итерация, Chaos Builder 1.0-3.0, претендовала на роль сборщика .NET-версии программы-вымогателя Ryuk, но вскоре исследователи заметили, что она мало похожа на Ryuk и на самом деле является вайпером.
Вредоносное ПО развивалось в нескольких версиях до четвертой версии Chaos Builder, которая была выпущена в конце 2021 года и получила поддержку, когда группа угроз под названием Onyx создала собственную программу-вымогатель. Эта версия быстро стала самой распространенной версией Chaos, наблюдаемой непосредственно в дикой природе, шифруя некоторые файлы, но сохраняя перезапись и уничтожая большинство файлов на своем пути.
Ранее в мае этого года строитель Chaos обменял свои возможности очистки на шифрование, всплывающий с переименованным бинарным файлом под названием Yashma, который включает в себя полноценные возможности программы-вымогателя.
Хотя самая последняя эволюция Chaos, засвидетельствованная Black Lotus Labs, сильно отличается, у нее есть одно существенное сходство со своими предшественниками — быстрый рост, который вряд ли замедлится в ближайшее время, говорят исследователи.
Самый ранний сертификат последнего варианта Chaos был сгенерирован 16 апреля; это впоследствии, когда исследователи полагают, что злоумышленники запустили новый вариант в дикой природе.
С тех пор количество самоподписанных сертификатов Chaos продемонстрировало «заметный рост», увеличившись более чем вдвое в мае до 39, а затем подскочив до 93 в августе, говорят исследователи. По их словам, по состоянию на 20 сентября текущий месяц уже превысил общий показатель предыдущего месяца: было создано 94 сертификата Chaos.
Снижение риска по всем направлениям
Поскольку Chaos теперь атакует жертв от самых маленьких домашних офисов до крупнейших предприятий, исследователи дали конкретные рекомендации для каждого типа целей.
Для тех, кто защищает сети, они посоветовали сетевым администраторам следить за управлением исправлениями для недавно обнаруженных уязвимостей, поскольку это основной способ распространения Хаоса.
«Используйте IoC, описанные в этом отчете, для мониторинга заражения Chaos, а также подключений к любой подозрительной инфраструктуре», — рекомендуют исследователи.
Потребители, использующие маршрутизаторы в небольших и домашних офисах, должны следовать рекомендациям по регулярной перезагрузке маршрутизаторов и установке обновлений и исправлений безопасности, а также использовать правильно настроенные и обновленные решения EDR на хостах. Этим пользователям также следует регулярно обновлять программное обеспечение, применяя обновления поставщиков, где это применимо.
Удаленные работники — поверхность атаки, которая значительно увеличилась за последние два года пандемии, — также находится под угрозой, и ее следует смягчить, изменив пароли по умолчанию и отключив удаленный root-доступ на машинах, которые в нем не нуждаются, рекомендуют исследователи. Такие работники также должны хранить ключи SSH безопасно и только на устройствах, которым они требуются.
Black Lotus Labs рекомендует всем предприятиям рассмотреть возможность применения комплексной защиты на границе службы безопасного доступа (SASE) и защиты от DDoS-атак, чтобы укрепить их общие позиции безопасности и обеспечить надежное обнаружение сетевых коммуникаций.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
