Den kraftfulla skadliga programvaran Chaos har återigen utvecklats och förvandlats till ett nytt Go-baserat multiplattformshot som inte liknar dess tidigare ransomware-iteration. Den riktar sig nu mot kända säkerhetsbrister för att starta DDoS-attacker (distributed denial-of-service) och utföra kryptominering.
Forskare från Black Lotus Labs, Lumen Technologies hotintelligensarm, observerade nyligen en version av Chaos skriven på kinesiska, som utnyttjar Kina-baserad infrastruktur och uppvisar ett beteende som är mycket annorlunda än den senaste aktiviteten som ransomware-byggaren med samma namn såg, sa de i ett blogginlägg publicerad 28 sept.
Skillnaderna mellan tidigare varianter av kaos och de 100 distinkta och nya kaosklustren som forskare observerade är faktiskt så olika att de säger att det utgör ett helt nytt hot. Faktum är att forskare tror att den senaste varianten faktiskt är utvecklingen av DDoS botnät Kaiji och kanske "till skillnad från Chaos ransomware builder" som tidigare setts i naturen, sa de.
Kaiji, som upptäcktes 2020, riktade sig ursprungligen mot Linux-baserade AMD- och i386-servrar genom att utnyttja SSH-brute-forcing för att infektera nya bots och sedan starta DDoS-attacker. Chaos har utvecklat Kaijis ursprungliga kapacitet för att inkludera moduler för nya arkitekturer - inklusive Windows - samt lägga till nya spridningsmoduler genom CVE-exploatering och SSH-nyckelskörd, sa forskarna.
Senaste kaosaktivitet
Under den senaste tidens aktivitet har Chaos framgångsrikt äventyrat en GitLab-server och utvecklat en uppsjö av DDoS-attacker riktade mot spel, finansiella tjänster och teknik samt media- och underhållningsindustrin, tillsammans med DDoS-as-a-tjänsteleverantörer och en kryptovalutabörs.
Chaos riktar sig nu inte bara till företag och stora organisationer utan också "enheter och system som inte rutinmässigt övervakas som en del av en företagssäkerhetsmodell, såsom SOHO-routrar och FreeBSD OS", sa forskarna.
Och medan förra gången Chaos sågs i naturen fungerade det mer som typisk ransomware som kom in i nätverk med syftet att kryptera filer, har aktörerna bakom den senaste varianten väldigt olika motiv i åtanke, sa forskarna.
Dess plattformsoberoende och enhetsfunktionalitet såväl som smygprofilen för nätverksinfrastrukturen bakom den senaste Chaos-aktiviteten verkar visa att syftet med kampanjen är att odla ett nätverk av infekterade enheter för att utnyttja för initial åtkomst, DDoS-attacker och kryptominering , enligt forskarna.
Viktiga skillnader och en likhet
Medan tidigare exempel på Chaos skrevs i .NET, skrivs den senaste skadliga programvaran i Go, som snabbt håller på att bli en valfritt språk för hotaktörer på grund av dess plattformsoberoende flexibilitet, låga antivirusupptäcktshastigheter och svårigheter att bakåtkonstruera, sa forskarna.
Och faktiskt, en av anledningarna till att den senaste versionen av Chaos är så kraftfull är att den fungerar över flera plattformar, inklusive inte bara Windows och Linux operativsystem utan även ARM, Intel (i386), MIPS och PowerPC, sa de.
Det sprids också på ett helt annat sätt än tidigare versioner av skadlig programvara. Medan forskare inte kunde fastställa dess initiala åtkomstvektor, när den väl tar tag i ett system, utnyttjar de senaste Chaos-varianterna kända sårbarheter på ett sätt som visar förmågan att svänga snabbt, noterade forskarna.
”Bland de prover vi analyserade rapporterades CVE för Huawei (CVE-2017-17215) Och Zyxel (CVE-2022-30525) personliga brandväggar, som båda utnyttjade oautentiserade sårbarheter för injicering av fjärrkommandorad", konstaterade de i sitt inlägg. "Men CVE-filen verkar trivial för skådespelaren att uppdatera, och vi bedömer att det är mycket troligt att skådespelaren utnyttjar andra CVEs."
Kaos har verkligen gått igenom många inkarnationer sedan det först dök upp i juni 2021 och den senaste versionen kommer sannolikt inte att bli den sista, sa forskarna. Dess första iteration, Chaos Builder 1.0-3.0, påstods vara en byggare för en .NET-version av Ryuk ransomware, men forskarna märkte snart att den inte liknade Ryuk och var faktiskt en torkare.
Skadlig programvara utvecklades över flera versioner fram till version fyra av Chaos-byggaren som släpptes i slutet av 2021 och fick ett uppsving när en hotgrupp vid namn Onyx skapade sin egen ransomware. Den här versionen blev snabbt den vanligaste Chaos-utgåvan som direkt observerats i naturen, krypterade vissa filer men bibehåller överskrivna och förstörde de flesta filerna i dess väg.
Tidigare i år i maj kom Kaosbyggaren bytte sina torkarfunktioner mot kryptering, med en omdöpt binär dubbad Yashma som inkorporerade fullfjädrade ransomware-funktioner.
Även om den senaste utvecklingen av kaos som Black Lotus Labs bevittnat är mycket annorlunda, har den en betydande likhet med sina föregångare - snabb tillväxt som sannolikt inte kommer att sakta ner snart, sa forskarna.
Det tidigaste certifikatet för den senaste Chaos-varianten genererades den 16 april; Det är sedan som forskare tror att hotaktörer lanserade den nya varianten i det vilda.
Sedan dess har antalet Chaos självsignerade certifikat visat "markerad tillväxt", mer än fördubblats i maj till 39 och sedan hoppat till 93 för augusti månad, sa forskarna. Den 20 september har den innevarande månaden redan överträffat föregående månads totalsumma med genereringen av 94 Chaos-certifikat, sa de.
Reducera risker över hela linjen
Eftersom Chaos nu attackerar offer från de minsta hemmakontoren till de största företagen, gjorde forskare specifika rekommendationer för varje typ av mål.
För de som försvarar nätverk, rådde de att nätverksadministratörer håller koll på patchhanteringen för nyupptäckta sårbarheter, eftersom detta är ett huvudsakligt sätt som Chaos sprider sig.
"Använd IoCs som beskrivs i den här rapporten för att övervaka en kaosinfektion, såväl som kopplingar till eventuell misstänkt infrastruktur," rekommenderade forskarna.
Konsumenter med routrar för små kontor och hemmakontor bör följa bästa praxis för att regelbundet starta om routrar och installera säkerhetsuppdateringar och patchar, samt utnyttja korrekt konfigurerade och uppdaterade EDR-lösningar på värdar. Dessa användare bör också regelbundet patcha programvara genom att tillämpa leverantörernas uppdateringar där så är tillämpligt.
Fjärranställda - en attackyta som har ökat avsevärt under de senaste två åren av pandemin - är också i riskzonen, och bör mildra den genom att ändra standardlösenord och inaktivera fjärråtkomst till root på maskiner som inte kräver det, rekommenderade forskarna. Sådana arbetare bör också lagra SSH-nycklar säkert och endast på enheter som kräver dem.
För alla företag rekommenderar Black Lotus Labs att överväga tillämpningen av omfattande skydd för säker åtkomsttjänst (SASE) och DDoS-reducerande skydd för att stärka deras övergripande säkerhetsställningar och möjliggöra robust detektering av nätverksbaserad kommunikation.
