Потужне зловмисне програмне забезпечення Chaos знову еволюціонувало, перетворюючись на нову мультиплатформенну загрозу на базі Go, яка не має жодної схожості з попередньою ітерацією програми-вимагача. Тепер він націлений на відомі вразливості безпеки, щоб запускати розподілені атаки на відмову в обслуговуванні (DDoS) і виконувати криптомайнінг.
Дослідники з Black Lotus Labs, підрозділу Lumen Technologies з аналізу загроз, нещодавно помітили версію Chaos, написану китайською мовою, яка використовує китайську інфраструктуру та демонструє поведінку, яка значно відрізняється від останньої активності, яку спостерігав однойменний розробник програм-вимагачів. вони сказали у своєму блозі опубліковано 28 вер.
Дійсно, відмінності між попередніми варіантами Хаосу та 100 окремими та недавніми скупченнями Хаосу, які спостерігали дослідники, настільки різні, що вони кажуть, що це становить абсолютно нову загрозу. Фактично, дослідники вважають, що останній варіант насправді є еволюцією DDoS-ботнет Kaiji і, можливо, «відрізняється від конструктора програм-вимагачів Chaos», які раніше бачили в дикій природі, сказали вони.
Kaiji, виявлений у 2020 році, спочатку був націлений на сервери AMD і i386 на базі Linux, використовуючи підбір SSH для зараження нових ботів, а потім запускав DDoS-атаки. За словами дослідників, Chaos розвинув оригінальні можливості Kaiji, включивши модулі для нових архітектур, включаючи Windows, а також додавши нові модулі розповсюдження за допомогою використання CVE та збору ключів SSH.
Недавня активність Хаосу
Під час нещодавньої діяльності Chaos успішно скомпрометував сервер GitLab і розгорнув серію DDoS-атак, націлених на ігри, фінансові послуги та технології, індустрію медіа та розваг, а також постачальників DDoS-як-послуги та біржу криптовалют.
Хаос тепер націлений не лише на підприємства та великі організації, а й на «пристрої та системи, які регулярно не контролюються в рамках корпоративної моделі безпеки, такі як маршрутизатори SOHO та ОС FreeBSD», — кажуть дослідники.
І хоча минулого разу, коли Хаос був помічений у дикій природі, він діяв скоріше як звичайне програмне забезпечення-вимагач, яке потрапило в мережі з метою шифрування файлів, учасники останнього варіанту мають на увазі зовсім інші мотиви, кажуть дослідники.
Її крос-платформна функціональність і функціональність пристроїв, а також стелс-профіль мережевої інфраструктури, що стоїть за останньою діяльністю Chaos, здається, демонструють, що мета кампанії полягає в тому, щоб культивувати мережу заражених пристроїв для використання для початкового доступу, DDoS-атак і криптомайнінгу. , за словами дослідників.
Ключові відмінності та одна схожість
У той час як попередні зразки Chaos були написані в .NET, останні шкідливі програми написані в Go, який швидко стає мова за вибором За словами дослідників, для зловмисників через його кросплатформну гнучкість, низький рівень виявлення антивірусу та складність зворотного проектування.
І справді, одна з причин, чому остання версія Chaos настільки потужна, полягає в тому, що вона працює на кількох платформах, включаючи не лише операційні системи Windows і Linux, але також ARM, Intel (i386), MIPS і PowerPC, кажуть вони.
Крім того, воно поширюється значно інакше, ніж попередні версії зловмисного програмного забезпечення. Хоча дослідники не змогли визначити його початковий вектор доступу, як тільки він захоплює систему, останні варіанти Chaos використовують відомі вразливості таким чином, що демонструє здатність швидко повертатися, зазначили дослідники.
«Серед досліджених нами проб повідом CVE для Huawei (CVE-2017-17215) і Zyxel (CVE-2022-30525) персональні брандмауери, обидва з яких використовували вразливості неавтентифікованого віддаленого впровадження командного рядка», — зазначили вони у своїй публікації. «Однак файл CVE здається тривіальним для актора для оновлення, і ми вважаємо, що дуже ймовірно, що актор використовує інші CVE».
Хаос справді пройшов через численні втілення з моменту його появи в червні 2021 року, і ця остання версія навряд чи буде його останньою, кажуть дослідники. Його перша ітерація, Chaos Builder 1.0-3.0, нібито була конструктором для версії .NET програми-вимагача Ryuk, але незабаром дослідники помітили, що вона мало схожа на Ryuk і насправді була склоочисником.
Зловмисне програмне забезпечення розвивалося в кількох версіях до четвертої версії конструктора Chaos, яка була випущена наприкінці 2021 року та отримала поштовх, коли група загроз під назвою Onyx створила власну програму-вимагач. Ця версія швидко стала найпоширенішим виданням Chaos, яке безпосередньо спостерігалося в дикій природі, шифруючи деякі файли, але зберігаючи перезаписані та знищуючи більшість файлів на своєму шляху.
Раніше цього року, у травні, Chaos builder обміняв свої можливості стирання на шифрування, з’явившись із оновленим двійковим файлом під назвою Yashma, який містить повноцінні можливості програм-вимагачів.
Хоча остання еволюція Хаосу, свідком якої стала Black Lotus Labs, значно відрізняється, вона має одну значну схожість зі своїми попередниками — швидке зростання, яке навряд чи сповільниться найближчим часом, вважають дослідники.
Найперший сертифікат останнього варіанту Хаосу було створено 16 квітня; Згодом дослідники вважають, що зловмисники запустили новий варіант у дикій природі.
Відтоді кількість самопідписаних сертифікатів Chaos продемонструвала «помітне зростання», збільшившись більш ніж удвічі в травні до 39, а потім підскочивши до 93 у серпні, кажуть дослідники. За їх словами, станом на 20 вересня поточний місяць уже перевищив загальну кількість попереднього місяця, створивши 94 сертифікати Chaos.
Зменшення ризиків у всьому світі
Оскільки Хаос зараз атакує жертв від найменших домашніх офісів до найбільших підприємств, дослідники надали конкретні рекомендації для кожного типу цілей.
Для тих, хто захищає мережі, вони порадили мережевим адміністраторам залишатися на вершині керування виправленнями для нещодавно виявлених уразливостей, оскільки це основний спосіб поширення хаосу.
«Використовуйте IoC, описані в цьому звіті, для моніторингу зараження Chaos, а також підключень до будь-якої підозрілої інфраструктури», — рекомендували дослідники.
Споживачі з маршрутизаторами для невеликих і домашніх офісів повинні дотримуватися найкращих практик щодо регулярного перезавантаження маршрутизаторів і встановлення оновлень безпеки та виправлень, а також використовувати правильно налаштовані та оновлені рішення EDR на хостах. Ці користувачі також повинні регулярно виправляти програмне забезпечення, застосовуючи оновлення постачальників, де це можливо.
Віддалені працівники — поверхню атаки, кількість якої значно збільшилася за останні два роки пандемії, — також знаходяться під загрозою, тому слід пом’якшити її, змінивши паролі за замовчуванням і вимкнувши віддалений кореневий доступ на машинах, яким він не потрібен, рекомендували дослідники. Такі працівники також повинні безпечно зберігати ключі SSH і лише на пристроях, яким вони потрібні.
Усім компаніям Black Lotus Labs рекомендує розглянути можливість застосування комплексної технології безпечного доступу (SASE) і захисту від DDoS, щоб підвищити загальну безпеку та забезпечити надійне виявлення під час мережевих комунікацій.
