Phần mềm độc hại Chaos mạnh mẽ đã phát triển một lần nữa, biến thành một mối đe dọa đa nền tảng, dựa trên Go mới, không giống với lần lặp ransomware trước đó của nó. Hiện tại, nó đang nhắm mục tiêu vào các lỗ hổng bảo mật đã biết để khởi động các cuộc tấn công từ chối dịch vụ (DDoS) phân tán và thực hiện hoạt động khai thác tiền điện tử.
Các nhà nghiên cứu từ Black Lotus Labs, bộ phận tình báo mối đe dọa của Lumen Technologies, gần đây đã quan sát thấy một phiên bản Chaos được viết bằng tiếng Trung Quốc, tận dụng cơ sở hạ tầng có trụ sở tại Trung Quốc và thể hiện hành vi khác xa so với hoạt động cuối cùng mà trình tạo ransomware cùng tên đã thấy. họ nói rằng trong một bài đăng blog xuất bản ngày 28 tháng XNUMX.
Thật vậy, sự khác biệt giữa các biến thể trước đó của Hỗn loạn và 100 cụm Hỗn loạn khác biệt và gần đây mà các nhà nghiên cứu quan sát thấy khác nhau đến mức họ cho rằng nó đặt ra một mối đe dọa hoàn toàn mới. Trên thực tế, các nhà nghiên cứu tin rằng biến thể mới nhất thực sự là sự tiến hóa của Mạng botnet DDoS Kaiji và có lẽ “khác biệt với trình tạo ransomware Chaos” từng thấy trong tự nhiên trước đây, họ nói.
Kaiji, được phát hiện vào năm 2020, ban đầu nhắm mục tiêu vào các máy chủ AMD và i386 dựa trên Linux bằng cách tận dụng tính năng ép buộc vũ phu SSH để lây nhiễm các bot mới và sau đó khởi động các cuộc tấn công DDoS. Các nhà nghiên cứu cho biết, Chaos đã phát triển các khả năng ban đầu của Kaiji để bao gồm các mô-đun cho kiến trúc mới - bao gồm cả Windows - cũng như bổ sung thêm các mô-đun lan truyền mới thông qua khai thác CVE và thu thập khóa SSH.
Hoạt động hỗn loạn gần đây
Trong hoạt động gần đây, Chaos đã xâm nhập thành công máy chủ GitLab và thực hiện một loạt các cuộc tấn công DDoS nhắm vào ngành công nghiệp trò chơi, dịch vụ tài chính và công nghệ cũng như truyền thông và giải trí, cùng với các nhà cung cấp dịch vụ DDoS và trao đổi tiền điện tử.
Các nhà nghiên cứu cho biết, Chaos hiện đang nhắm mục tiêu không chỉ vào doanh nghiệp và các tổ chức lớn mà còn cả “các thiết bị và hệ thống không được giám sát thường xuyên như một phần của mô hình bảo mật doanh nghiệp, chẳng hạn như bộ định tuyến SOHO và hệ điều hành FreeBSD”.
Các nhà nghiên cứu cho biết, trong khi lần cuối Chaos được phát hiện ngoài thực tế, nó hoạt động giống như một phần mềm tống tiền điển hình xâm nhập vào mạng với mục đích mã hóa tệp, những kẻ đứng sau biến thể mới nhất có động cơ rất khác nhau.
Chức năng đa nền tảng và thiết bị của nó cũng như hồ sơ tàng hình của cơ sở hạ tầng mạng đằng sau hoạt động Chaos mới nhất dường như chứng minh rằng mục đích của chiến dịch là nuôi dưỡng một mạng lưới các thiết bị bị nhiễm để tận dụng quyền truy cập ban đầu, tấn công DDoS và khai thác tiền điện tử , theo các nhà nghiên cứu.
Sự khác biệt chính và một điểm tương đồng
Trong khi các mẫu Chaos trước đây được viết bằng .NET, phần mềm độc hại mới nhất được viết bằng Go, phần mềm này đang nhanh chóng trở thành một ngôn ngữ lựa chọn các tác nhân đe dọa do tính linh hoạt đa nền tảng, tỷ lệ phát hiện phần mềm chống vi-rút thấp và khó thiết kế ngược, các nhà nghiên cứu cho biết.
Và thực sự, một trong những lý do khiến phiên bản Chaos mới nhất mạnh mẽ như vậy là vì nó hoạt động trên nhiều nền tảng, không chỉ bao gồm hệ điều hành Windows và Linux mà còn cả ARM, Intel (i386), MIPS và PowerPC, họ cho biết.
Nó cũng lan truyền theo một cách khác xa so với các phiên bản trước của phần mềm độc hại. Các nhà nghiên cứu lưu ý rằng mặc dù các nhà nghiên cứu không thể xác định véc tơ truy cập ban đầu của nó, nhưng một khi nó nắm giữ một hệ thống, các biến thể Chaos mới nhất sẽ khai thác các lỗ hổng đã biết theo cách cho thấy khả năng xoay vòng nhanh chóng.
“Trong số các mẫu chúng tôi phân tích đã được báo cáo CVE cho Huawei (CVE-2017-17215) Và Zyxel (CVE-2022-30525) tường lửa cá nhân, cả hai đều tận dụng các lỗ hổng chèn dòng lệnh từ xa không được xác thực,” họ nhận xét trong bài đăng của mình. “Tuy nhiên, tệp CVE có vẻ không cần thiết để tác nhân cập nhật và chúng tôi đánh giá rất có thể tác nhân đó đã lợi dụng các CVE khác.”
Các nhà nghiên cứu cho biết Chaos thực sự đã trải qua nhiều lần tái sinh kể từ lần đầu tiên xuất hiện vào tháng 2021 năm 1.0 và phiên bản mới nhất này không có khả năng là phiên bản cuối cùng của nó. Phiên bản đầu tiên của nó, Chaos Builder 3.0-XNUMX, được cho là một công cụ xây dựng cho phiên bản .NET của ransomware Ryuk, nhưng các nhà nghiên cứu đã sớm nhận thấy nó có một chút điểm tương đồng với Ryuk và thực sự là một wiper.
Phần mềm độc hại đã phát triển qua một số phiên bản cho đến phiên bản bốn của trình tạo Chaos được phát hành vào cuối năm 2021 và được tăng cường khi một nhóm đe dọa có tên Onyx tạo ra phần mềm tống tiền của riêng mình. Phiên bản này nhanh chóng trở thành phiên bản Chaos phổ biến nhất được quan sát trực tiếp trong tự nhiên, mã hóa một số tệp nhưng vẫn bị ghi đè và phá hủy hầu hết các tệp trên đường dẫn của nó.
Đầu năm nay vào tháng XNUMX, trình xây dựng Chaos đánh đổi khả năng gạt nước của nó để mã hóa, nổi lên với một tệp nhị phân được đổi thương hiệu có tên là Yashma kết hợp các khả năng của phần mềm tống tiền hoàn chỉnh.
Các nhà nghiên cứu cho biết, mặc dù sự phát triển gần đây nhất của Chaos mà Black Lotus Labs chứng kiến là rất khác biệt, nhưng nó có một điểm tương đồng đáng kể với những người tiền nhiệm của nó - tốc độ phát triển nhanh chóng và khó có thể sớm chậm lại.
Chứng chỉ sớm nhất của biến thể Chaos mới nhất được tạo vào ngày 16 tháng XNUMX; điều này xảy ra sau đó khi các nhà nghiên cứu tin rằng các tác nhân đe dọa đã tung ra biến thể mới trong tự nhiên.
Các nhà nghiên cứu cho biết kể từ đó, số lượng chứng chỉ tự ký của Chaos đã cho thấy “sự tăng trưởng rõ rệt”, tăng hơn gấp đôi trong tháng 39 lên 93 và sau đó tăng lên 20 trong tháng 94. Họ cho biết tính đến ngày XNUMX tháng XNUMX, tháng hiện tại đã vượt qua tổng số của tháng trước với việc tạo ra XNUMX chứng chỉ Chaos.
Giảm thiểu rủi ro trên toàn hội đồng quản trị
Vì Chaos hiện đang tấn công các nạn nhân từ các văn phòng nhỏ nhất tại nhà cho đến các doanh nghiệp lớn nhất, các nhà nghiên cứu đã đưa ra các khuyến nghị cụ thể cho từng loại mục tiêu.
Đối với những mạng bảo vệ đó, họ khuyên rằng các quản trị viên mạng nên quản lý bản vá cho các lỗ hổng mới được phát hiện, vì đây là cách lây lan chính của Chaos.
Các nhà nghiên cứu khuyến nghị: “Hãy sử dụng IoC được nêu trong báo cáo này để theo dõi sự lây nhiễm của Chaos, cũng như các kết nối với bất kỳ cơ sở hạ tầng đáng ngờ nào”.
Người tiêu dùng có bộ định tuyến văn phòng nhỏ và văn phòng tại nhà nên tuân theo các biện pháp tốt nhất là thường xuyên khởi động lại bộ định tuyến cũng như cài đặt các bản vá và bản cập nhật bảo mật, cũng như tận dụng các giải pháp EDR được cấu hình và cập nhật đúng cách trên máy chủ. Những người dùng này cũng nên thường xuyên vá phần mềm bằng cách áp dụng các bản cập nhật của nhà cung cấp nếu có.
Công nhân ở xa — một bề mặt tấn công đã gia tăng đáng kể trong hai năm qua của đại dịch — cũng đang gặp rủi ro và nên giảm thiểu bằng cách thay đổi mật khẩu mặc định và vô hiệu hóa quyền truy cập root từ xa trên các máy không yêu cầu, các nhà nghiên cứu khuyến nghị. Những nhân viên như vậy cũng nên lưu trữ khóa SSH một cách an toàn và chỉ trên các thiết bị yêu cầu chúng.
Đối với tất cả các doanh nghiệp, Black Lotus Labs khuyên bạn nên xem xét việc áp dụng các biện pháp bảo vệ giảm thiểu DDoS và cạnh dịch vụ truy cập an toàn toàn diện để củng cố tình hình bảo mật tổng thể của họ và cho phép phát hiện mạnh mẽ các giao tiếp dựa trên mạng.
