强大的 Chaos 恶意软件再次进化,演变成一种新的基于 Go 的多平台威胁,与之前的勒索软件迭代毫无相似之处。 它现在针对已知的安全漏洞发起分布式拒绝服务 (DDoS) 攻击并执行加密挖矿。
Lumen Technologies 的威胁情报部门 Black Lotus Labs 的研究人员最近观察到一个用中文编写的 Chaos 版本,它利用基于中国的基础设施,表现出的行为与同名勒索软件构建者上次看到的活动截然不同,他们说 在一篇博客文章 28 月 XNUMX 日发布。
事实上,Chaos 的早期变体与研究人员观察到的 100 个不同的和最近的 Chaos 集群之间的区别是如此不同,以至于他们说它构成了全新的威胁。 事实上,研究人员认为最新的变种实际上是 DDoS 僵尸网络 Kaiji 他们说,也许“与以前在野外看到的 Chaos 勒索软件构建器不同”。
Kaiji 于 2020 年被发现,最初针对基于 Linux 的 AMD 和 i386 服务器,利用 SSH 暴力破解来感染新的机器人,然后发起 DDoS 攻击。 研究人员表示,Chaos 已经发展了 Kaiji 的原始功能,以包括用于新架构(包括 Windows)的模块,以及通过 CVE 漏洞利用和 SSH 密钥收集添加新的传播模块。
最近的混乱活动
在最近的活动中,Chaos 成功入侵了 GitLab 服务器,并针对游戏、金融服务和技术、媒体和娱乐行业以及 DDoS 即服务提供商和加密货币交易所展开了一连串的 DDoS 攻击。
研究人员表示,Chaos 现在不仅针对企业和大型组织,还针对“不作为企业安全模型的一部分进行常规监控的设备和系统,例如 SOHO 路由器和 FreeBSD 操作系统”。
研究人员表示,虽然上次在野外发现 Chaos 时,它更像是进入网络以加密文件为目的的典型勒索软件,但最新变体背后的参与者有着截然不同的动机。
它的跨平台和设备功能以及最新 Chaos 活动背后的网络基础设施的隐蔽配置文件似乎表明该活动的目的是培养受感染设备网络,以利用初始访问、DDoS 攻击和加密挖矿,据研究人员称。
主要区别和相似之处
虽然之前的 Chaos 样本是用 .NET 编写的,但最新的恶意软件是用 Go 编写的,Go 正迅速成为 选择的语言 研究人员说,由于其跨平台的灵活性、低反病毒检测率和逆向工程的难度,对于威胁行为者来说。
事实上,最新版本的 Chaos 如此强大的原因之一是因为它可以跨多个平台运行,不仅包括 Windows 和 Linux 操作系统,还包括 ARM、Intel (i386)、MIPS 和 PowerPC,他们说。
它还以与以前版本的恶意软件截然不同的方式传播。 研究人员指出,虽然研究人员无法确定其初始访问向量,但一旦它控制了系统,最新的 Chaos 变体就会以一种显示出快速转移能力的方式利用已知漏洞。
“在我们分析的样本中,有报道称 华为的 CVE (CVE-2017-17215) 以及 合勤 (CVE-2022-30525) 个人防火墙,两者都利用了未经身份验证的远程命令行注入漏洞,”他们在帖子中写道。 “然而,CVE 文件对于攻击者更新来说似乎微不足道,我们评估攻击者极有可能利用其他 CVE。”
研究人员表示,自 2021 年 1.0 月首次出现以来,混沌确实经历了多次变身,而这个最新版本不太可能是最后一个版本。 它的第一个迭代版本 Chaos Builder 3.0-XNUMX 声称是 .NET 版本的 Ryuk 勒索软件的构建器,但研究人员很快注意到它与 Ryuk 几乎没有相似之处,实际上是一个擦除器。
该恶意软件经历了多个版本的演变,直到 2021 年底发布了第四版 Chaos 构建器,并在名为 Onyx 的威胁组织创建了自己的勒索软件时得到了提升。 这个版本很快成为在野外直接观察到的最常见的 Chaos 版本,加密了一些文件但保持覆盖并破坏了其路径中的大部分文件。
今年五月初,Chaos builder 将其擦拭器功能换成加密,出现了一个名为 Yashma 的重新命名的二进制文件,其中包含完全成熟的勒索软件功能。
研究人员表示,虽然 Black Lotus Labs 目睹的混沌的最新演变大不相同,但它确实与其前辈有一个显着的相似之处——快速增长不太可能很快放缓。
最新Chaos变种的最早证书生成于16月XNUMX日; 随后,研究人员认为威胁行为者在野外发起了新变种。
研究人员表示,从那以后,Chaos 自签名证书的数量出现了“显着增长”,39 月份翻了一番多,达到 93 个,然后在 20 月份跃升至 94 个。 他们说,截至 XNUMX 月 XNUMX 日,当月已经生成了 XNUMX 个 Chaos 证书,超过了上个月的总数。
全面降低风险
由于混沌现在正在攻击从最小的家庭办公室到最大的企业的受害者,研究人员针对每种类型的目标提出了具体建议。
对于那些捍卫网络的人,他们建议网络管理员对新发现的漏洞进行补丁管理,因为这是混沌传播的主要方式。
“使用本报告中概述的 IoC 来监控 Chaos 感染,以及与任何可疑基础设施的连接,”研究人员建议。
拥有小型办公室和家庭办公室路由器的消费者应遵循最佳实践,定期重启路由器并安装安全更新和补丁,以及在主机上利用正确配置和更新的 EDR 解决方案。 这些用户还应在适用的情况下通过应用供应商的更新来定期修补软件。
远程工作者 研究人员建议,在过去两年的大流行期间,一个攻击面显着增加的攻击面也处于危险之中,应该通过更改默认密码和禁用不需要它的机器上的远程根访问来减轻它。 这些工作人员还应该安全地存储 SSH 密钥,并且只在需要它们的设备上。
对于所有企业,Black Lotus Labs 建议考虑应用全面的安全访问服务边缘 (SASE) 和 DDoS 缓解保护措施,以增强其整体安全态势并实现对基于网络的通信的稳健检测。
