Zmogljiva zlonamerna programska oprema Chaos se je znova razvila in se preoblikovala v novo večplatformsko grožnjo, ki temelji na Go in ni podobna prejšnji različici izsiljevalske programske opreme. Zdaj cilja na znane varnostne ranljivosti, da sproži porazdeljene napade zavrnitve storitve (DDoS) in izvede kripto rudarjenje.
Raziskovalci iz Black Lotus Labs, veje podjetja Lumen Technologies za obveščanje o grožnjah, so pred kratkim opazili različico Chaosa, napisano v kitajščini, ki izkorišča kitajsko infrastrukturo in kaže vedenje, ki se precej razlikuje od zadnje dejavnosti, ki jo je opazil istoimenski ustvarjalec izsiljevalske programske opreme, rekli so v blog post objavljeno 28. sept.
Dejansko so razlike med prejšnjimi različicami kaosa in 100 različnimi in nedavnimi grozdi kaosa, ki so jih opazili raziskovalci, tako različne, da pravijo, da predstavlja povsem novo grožnjo. Pravzaprav raziskovalci verjamejo, da je najnovejša različica pravzaprav evolucija DDoS botnet Kaiji in morda "različen od graditelja izsiljevalske programske opreme Chaos", ki je bil prej viden v naravi, so rekli.
Kaiji, ki so ga odkrili leta 2020, je prvotno ciljal na strežnike AMD in i386, ki temeljijo na Linuxu, tako da je uporabil prisilno uporabo SSH za okužbo novih botov in nato sprožil napade DDoS. Raziskovalci so povedali, da je Chaos razvil prvotne zmožnosti Kaijija tako, da so vključevali module za nove arhitekture – vključno z Windows – ter dodali nove module za razmnoževanje z izkoriščanjem CVE in zbiranjem ključev SSH.
Nedavna dejavnost kaosa
V nedavni dejavnosti je Chaos uspešno ogrozil strežnik GitLab in sprožil množico napadov DDoS, ki ciljajo na igre na srečo, finančne storitve in tehnologijo ter medijsko in zabavno industrijo, skupaj s ponudniki DDoS-as-a-storitev in menjalnico kriptovalut.
Kaos zdaj ni usmerjen samo v podjetja in velike organizacije, temveč tudi na "naprave in sisteme, ki niso redno nadzorovani kot del varnostnega modela podjetja, kot so usmerjevalniki SOHO in OS FreeBSD," so povedali raziskovalci.
In medtem ko je bil Chaos nazadnje opažen v divjini, je deloval bolj kot tipična izsiljevalska programska oprema, ki je vstopila v omrežja z namenom šifriranja datotek, imajo akterji za najnovejšo različico v mislih zelo različne motive, so povedali raziskovalci.
Njena funkcionalnost med platformami in napravami ter prikriti profil omrežne infrastrukture, ki stoji za najnovejšo dejavnostjo Chaos, kaže, da je cilj kampanje gojiti omrežje okuženih naprav za začetni dostop, napade DDoS in rudarjenje s kripto. , po mnenju raziskovalcev.
Ključne razlike in ena podobnost
Medtem ko so bili prejšnji vzorci Chaosa napisani v .NET, je najnovejša zlonamerna programska oprema napisana v Go, ki hitro postaja jezik po izbiri za akterje groženj zaradi prilagodljivosti med platformami, nizkih stopenj zaznavanja protivirusnih programov in težav pri obratnem inženiringu, so povedali raziskovalci.
In res, eden od razlogov, da je najnovejša različica Chaos tako zmogljiva, je ta, da deluje na več platformah, vključno z operacijskimi sistemi Windows in Linux tudi ARM, Intel (i386), MIPS in PowerPC, so povedali.
Prav tako se širi na precej drugačen način kot prejšnje različice zlonamerne programske opreme. Medtem ko raziskovalci niso mogli ugotoviti njegovega začetnega vektorja dostopa, ko prevzame sistem, najnovejše različice Chaosa izkoriščajo znane ranljivosti na način, ki kaže sposobnost hitrega vrtenja, so opozorili raziskovalci.
»Med vzorci, ki smo jih analizirali, so bili prijavljeni CVE za Huawei (CVE-2017-17215) in Zyxel (CVE-2022-30525) osebnih požarnih zidov, pri čemer sta oba izkoristila nepreverjene ranljivosti oddaljenega vbrizgavanja ukazne vrstice,« so opazili v svoji objavi. "Vendar se zdi, da je datoteka CVE trivialna za igralca, da bi jo posodobil, in ocenjujemo, da je zelo verjetno, da igralec izkorišča druge CVE."
Chaos je dejansko doživel številne inkarnacije, odkar se je prvič pojavil junija 2021, in ta zadnja različica verjetno ne bo zadnja, pravijo raziskovalci. Njegova prva ponovitev, Chaos Builder 1.0-3.0, naj bi bila graditelj za .NET različico izsiljevalske programske opreme Ryuk, vendar so raziskovalci kmalu opazili, da je malo podobna Ryuku in je bila pravzaprav brisalec.
Zlonamerna programska oprema se je razvila v več različicah do četrte različice graditelja Chaos, ki je bila izdana konec leta 2021 in je dobila zagon, ko je skupina groženj z imenom Onyx ustvarila lastno izsiljevalsko programsko opremo. Ta različica je hitro postala najpogostejša izdaja Chaosa, ki je bila neposredno opazovana v divjini, šifrirala je nekatere datoteke, vendar ohranila prepisane in uničila večino datotek na svoji poti.
V začetku tega leta v maju, Chaos builder svoje zmogljivosti brisalcev zamenjal za šifriranje, ki se pojavlja s preimenovano dvojiško datoteko, imenovano Yashma, ki je vključevala popolne zmožnosti izsiljevalske programske opreme.
Medtem ko je najnovejši razvoj kaosa, ki mu je priča Black Lotus Labs, precej drugačen, ima eno veliko podobnost s svojimi predhodniki – hitro rast, ki se verjetno ne bo kmalu upočasnila, so povedali raziskovalci.
Najzgodnejši certifikat najnovejše različice Chaos je bil ustvarjen 16. aprila; to je pozneje, ko raziskovalci verjamejo, da so akterji groženj lansirali novo različico v naravi.
Od takrat je število samopodpisanih potrdil Chaos pokazalo "izrazito rast", več kot podvojilo v maju na 39 in nato poskočilo na 93 v mesecu avgustu, so povedali raziskovalci. Od 20. septembra je tekoči mesec že presegel skupni znesek prejšnjega meseca z generiranjem 94 potrdil Chaos, so povedali.
Zmanjšanje tveganja na vseh področjih
Ker Chaos zdaj napada žrtve od najmanjših domačih pisarn do največjih podjetij, so raziskovalci pripravili posebna priporočila za vsako vrsto tarče.
Tistim, ki branijo omrežja, so svetovali, naj skrbniki omrežja ostanejo na vrhu upravljanja popravkov za na novo odkrite ranljivosti, saj je to glavni način širjenja kaosa.
»Uporabite IoC-je, opisane v tem poročilu, za spremljanje okužbe s Chaosom in povezav s kakršno koli sumljivo infrastrukturo,« so priporočili raziskovalci.
Potrošniki z usmerjevalniki v majhnih pisarnah in domačih pisarnah bi morali slediti najboljšim praksam rednega ponovnega zagona usmerjevalnikov in nameščanja varnostnih posodobitev in popravkov, kot tudi uporabe pravilno konfiguriranih in posodobljenih rešitev EDR na gostiteljih. Ti uporabniki bi morali tudi redno popravljati programsko opremo z uporabo posodobitev prodajalcev, kjer je to primerno.
Oddaljeni delavci — površina za napade, ki se je v zadnjih dveh letih pandemije znatno povečala — so prav tako ogroženi in bi jo morali ublažiti s spremembo privzetih gesel in onemogočanjem oddaljenega korenskega dostopa na strojih, ki tega ne potrebujejo, so priporočili raziskovalci. Takšni delavci bi morali varno shranjevati ključe SSH le v napravah, ki jih potrebujejo.
Za vsa podjetja Black Lotus Labs priporoča, da razmislijo o uporabi celovitega varnega dostopa (SASE) in zaščite pred napadi DDoS, da okrepijo svoje splošne varnostne položaje in omogočijo zanesljivo zaznavanje omrežnih komunikacij.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
