Güçlü Chaos kötü amaçlı yazılımı bir kez daha gelişti ve önceki fidye yazılımı sürümüyle hiçbir benzerliği olmayan yeni, Go tabanlı, çok platformlu bir tehdide dönüştü. Artık dağıtılmış hizmet reddi (DDoS) saldırıları başlatmak ve kripto madenciliği gerçekleştirmek için bilinen güvenlik açıklarını hedef alıyor.
Lumen Technologies'in tehdit istihbaratı kolu olan Black Lotus Labs'tan araştırmacılar yakın zamanda Kaos'un Çince yazılmış, Çin tabanlı altyapıdan yararlanan ve aynı adlı fidye yazılımı oluşturucusu tarafından görülen son etkinlikten çok farklı davranışlar sergileyen bir sürümünü gözlemledi. dediler bir blog yazısı 28 Eylül'de yayınlandı.
Gerçekten de, Kaos'un önceki varyantları ile araştırmacıların gözlemlediği 100 farklı ve yeni Kaos kümesi arasındaki farklar o kadar farklı ki, bunun yepyeni bir tehdit oluşturduğunu söylüyorlar. Aslına bakılırsa araştırmacılar, en son varyantın aslında evrim olduğuna inanıyor. DDoS botnet Kaiji ve belki de daha önce görülen "Kaos fidye yazılımı oluşturucusundan farklı" olduğunu söylediler.
2020'de keşfedilen Kaiji, yeni botlara bulaşmak ve ardından DDoS saldırıları başlatmak için SSH kaba kuvvetini kullanarak başlangıçta Linux tabanlı AMD ve i386 sunucularını hedef alıyordu. Araştırmacılar, Chaos'un Kaiji'nin orijinal yeteneklerini, Windows da dahil olmak üzere yeni mimariler için modüller içerecek şekilde geliştirdiğini ve ayrıca CVE kullanımı ve SSH anahtar toplama yoluyla yeni yayılma modülleri eklediğini söyledi.
Son Kaos Etkinliği
Son aktivitede Chaos, bir GitLab sunucusunu başarıyla ele geçirdi ve oyun, finansal hizmetler ve teknoloji ile medya ve eğlence endüstrilerinin yanı sıra hizmet olarak DDoS sağlayıcıları ve kripto para borsasını hedef alan bir dizi DDoS saldırısı başlattı.
Araştırmacılar, kaosun artık yalnızca kurumsal ve büyük kuruluşları değil, aynı zamanda "SOHO yönlendiricileri ve FreeBSD işletim sistemi gibi kurumsal güvenlik modelinin parçası olarak rutin olarak izlenmeyen cihaz ve sistemleri de" hedef aldığını söyledi.
Araştırmacılar, Kaos'un en son vahşi doğada tespit edilmesinde, dosyaları şifrelemek amacıyla ağlara giren tipik bir fidye yazılımı gibi davrandığını, en son varyantın arkasındaki aktörlerin akıllarında çok farklı amaçların olduğunu söyledi.
Platformlar arası ve cihaz işlevselliğinin yanı sıra en son Kaos etkinliğinin arkasındaki ağ altyapısının gizlilik profili, kampanyanın amacının ilk erişim, DDoS saldırıları ve kripto madenciliği için virüslü cihazlardan oluşan bir ağ oluşturmak olduğunu gösteriyor gibi görünüyor araştırmacılara göre.
Temel Farklılıklar ve Bir Benzerlik
Kaos'un önceki örnekleri .NET'te yazılırken, en yeni kötü amaçlı yazılımlar Go'da yazılıyor. tercih edilen dil Araştırmacılar, platformlar arası esnekliği, düşük antivirüs algılama oranları ve tersine mühendislik yapma zorluğu nedeniyle tehdit aktörleri için uygun olduğunu söyledi.
Ve aslında, Chaos'un en son sürümünün bu kadar güçlü olmasının nedenlerinden birinin, yalnızca Windows ve Linux işletim sistemleri değil, aynı zamanda ARM, Intel (i386), MIPS ve PowerPC de dahil olmak üzere birden fazla platformda çalışması olduğunu söylediler.
Ayrıca kötü amaçlı yazılımın önceki sürümlerinden çok farklı bir şekilde yayılır. Araştırmacılar, ilk erişim vektörünü belirleyemese de, bir sistemi ele geçirdiğinde, en son Kaos varyantlarının bilinen güvenlik açıklarından hızlı bir şekilde dönme yeteneğini gösterecek şekilde yararlandığını belirtti.
"Analiz ettiğimiz örnekler arasında Huawei için CVE'ler (CVE-2017-17215) Ve Zyxel (CVE-2022-30525) kişisel güvenlik duvarları, her ikisi de kimliği doğrulanmamış uzaktan komut satırı ekleme güvenlik açıklarından yararlanıyor", gönderilerinde gözlemlediler. "Ancak CVE dosyası aktörün güncellemesi için önemsiz görünüyor ve aktörün diğer CVE'lerden faydalanma ihtimalinin yüksek olduğunu değerlendiriyoruz."
Araştırmacılar, kaosun ilk ortaya çıktığı Haziran 2021'den bu yana gerçekten de çok sayıda enkarnasyondan geçtiğini ve bu son sürümün muhtemelen son sürüm olmayacağını söyledi. İlk sürümü olan Chaos Builder 1.0-3.0'ın, Ryuk fidye yazılımının .NET sürümü için bir oluşturucu olduğu iddia edildi, ancak araştırmacılar kısa süre sonra bunun Ryuk'a pek benzemediğini ve aslında bir silici olduğunu fark etti.
Kötü amaçlı yazılım, Chaos oluşturucunun 2021'in sonlarında piyasaya sürülen dördüncü sürümüne kadar çeşitli sürümlerde gelişti ve Onyx adlı bir tehdit grubunun kendi fidye yazılımını oluşturmasıyla hız kazandı. Bu sürüm kısa sürede doğada doğrudan gözlemlenen en yaygın Kaos sürümü haline geldi; bazı dosyaları şifreliyor, ancak üzerine yazmaya devam ediyor ve yolundaki çoğu dosyayı yok ediyor.
Bu yılın başlarında Mayıs ayında, Kaos inşaatçısı Silme yeteneklerini şifrelemeyle takas etti, tam teşekküllü fidye yazılımı yeteneklerini bir araya getiren, Yashma adlı yeniden markalanmış bir ikili programla birlikte ortaya çıkıyor.
Araştırmacılar, Black Lotus Labs'in tanık olduğu Kaos'un en son evriminin çok farklı olmasına rağmen, öncülleriyle önemli bir benzerliğe sahip olduğunu söyledi: hızlı büyüme ve yakın zamanda yavaşlaması pek mümkün görünmüyor.
En son Kaos versiyonunun en eski sertifikası 16 Nisan'da oluşturuldu; bu daha sonra araştırmacıların tehdit aktörlerinin yeni varyantı vahşi ortamda başlattığına inandıkları zamandır.
Araştırmacılar, o zamandan bu yana, Chaos'un kendinden imzalı sertifikalarının sayısının "belirgin bir büyüme" gösterdiğini, Mayıs ayında iki kattan fazla artarak 39'a, ardından Ağustos ayında 93'e sıçradığını söyledi. 20 Eylül itibarıyla mevcut ayın 94 Kaos sertifikası üretimiyle bir önceki ayın toplamını çoktan aştığını söylediler.
Yönetim Kurulu Genelinde Riskin Azaltılması
Kaos artık en küçük ev ofislerinden en büyük işletmelere kadar kurbanlara saldırdığından, araştırmacılar her hedef türü için özel önerilerde bulundu.
Ağları savunanlara, ağ yöneticilerinin yeni keşfedilen güvenlik açıkları için yama yönetimini takip etmelerini önerdiler çünkü bu, Kaos'un yayılmasının temel yoludur.
Araştırmacılar, "Kaos enfeksiyonunu ve şüpheli altyapı bağlantılarını izlemek için bu raporda özetlenen IoC'leri kullanın" tavsiyesinde bulundu.
Küçük ofis ve ev ofisi yönlendiricilerine sahip tüketiciler, yönlendiricileri düzenli olarak yeniden başlatma ve güvenlik güncellemeleri ile yamaları yükleme konusundaki en iyi uygulamaları takip etmeli ve ana bilgisayarlarda uygun şekilde yapılandırılmış ve güncellenmiş EDR çözümlerinden yararlanmalıdır. Bu kullanıcılar aynı zamanda uygun olduğu durumlarda sağlayıcının güncellemelerini uygulayarak yazılıma düzenli olarak yama yapmalıdır.
Uzaktan çalışanlar Araştırmacılar, salgının son iki yılında önemli ölçüde artan bir saldırı yüzeyinin de risk altında olduğunu ve varsayılan şifreleri değiştirerek ve buna ihtiyaç duymayan makinelerde uzaktan root erişimini devre dışı bırakarak bu riski azaltması gerektiğini önerdi. Bu tür çalışanlar ayrıca SSH anahtarlarını güvenli bir şekilde ve yalnızca bunları gerektiren cihazlarda saklamalıdır.
Black Lotus Labs, tüm işletmeler için, genel güvenlik durumlarını güçlendirmek ve ağ tabanlı iletişimlerde güçlü algılamayı mümkün kılmak için kapsamlı güvenli erişim hizmeti uç noktası (SASE) ve DDoS azaltma korumalarının uygulanmasının değerlendirilmesini önerir.
