Hotjägare riktar uppmärksamhet mot en ny variant av en fjärråtkomsttrojan (RAT) som kallas Chaos RAT och som har använts i nyligen attacker riktade mot Windows- och Linux-system.
Enligt resultat från Acronis kan den skadliga programvaran ha distribuerats genom att lura offer att ladda ner ett nätverksfelsökningsverktyg för Linux-miljöer.
“Chaos RAT är ett RAT-program med öppen källkod skrivet i Golang, som erbjuder plattformsoberoende stöd för både Windows- och Linux-system”, säger säkerhetsforskarna Santiago Pontiroli, Gabor Molnar och Kirill Antonenko i en rapport som delats med The Hacker News.
“Inspirerat av populära ramverk som Cobalt Strike och Sliver, tillhandahåller Chaos RAT en administrativ panel där användare kan bygga nyttolaster, etablera sessioner och kontrollera komprometterade maskiner.”
Även om arbetet med “fjärradministrationsverktyget” började redan 2017, väckte det inte uppmärksamhet förrän i december 2022 , då det användes i en skadlig kampanj riktad mot offentliga webbapplikationer som låg på Linux-system med kryptovalutagruvan XMRig.
När den är installerad ansluter den skadliga programvaran till en extern server och väntar på kommandon som gör att den kan starta reverse shells, ladda upp/ladda ner/ta bort filer, lista filer och kataloger, ta skärmdumpar, samla in systeminformation, låsa/starta om/stänga av maskinen och öppna godtyckliga webbadresser. Den senaste versionen av Chaos RAT är 5.0.3, som släpptes den 31 maj 2024.
Acronis sa att Linux-varianterna av den skadliga programvaran sedan dess har upptäckts i det vilda, ofta i samband med kryptovalutautvinningskampanjer. Attackkedjorna som observerats av företaget visar att Chaos RAT distribueras till offer via nätfiskemejl som innehåller skadliga länkar eller bilagor.
Dessa artefakter är utformade för att släppa ett skadligt skript som kan modifiera aktivitetsschemaläggaren “/etc/crontab” för att hämta skadlig programvara regelbundet som ett sätt att ställa in persistens.
“Tidiga kampanjer använde denna teknik för att leverera kryptovaluta-miners och Chaos RAT separat, vilket indikerar att Chaos främst användes för rekognoscering och informationsinsamling på komprometterade enheter”, sa forskarna.
En analys av ett nyligen laddat prov som laddades upp till VirusTotal i januari 2025 från Indien med namnet “NetworkAnalyzer.tar.gz” har väckt möjligheten att användare luras att ladda ner skadlig programvara genom att utge sig för att vara ett nätverksfelsökningsverktyg för Linux-miljöer.
Dessutom har administratörspanelen som låter användare bygga nyttolaster och hantera infekterade maskiner visat sig vara sårbar för en kommandoinjektionssårbarhet ( CVE-2024-30850 , CVSS-poäng: 8.8) som kan kombineras med en cross-site scripting-fel ( CVE-2024-31839 , CVSS-poäng: 4.8) för att exekvera godtycklig kod på servern med förhöjda rättigheter. Båda sårbarheterna har sedan dess åtgärdats av Chaos RATs utvecklare från och med maj 2024.
Även om det för närvarande inte är klart vem som ligger bakom användningen av Chaos RAT i verkliga attacker, illustrerar utvecklingen återigen hur hotaktörer fortsätter att beväpna öppen källkodsverktyg till sin fördel och förvirra attributionsarbetet.
“Det som börjar som en utvecklares verktyg kan snabbt bli en hotbildsaktörs förstahandsval”, sa forskarna. “Att använda offentligt tillgänglig skadlig programvara hjälper APT-grupper att smälta in i bruset från vardagens cyberbrottslighet. Skadlig programvara med öppen källkod erbjuder en ’tillräckligt bra’ verktygslåda som snabbt kan anpassas och driftsättas. När flera aktörer använder samma skadliga programvara med öppen källkod, blir det oklart vad som menas.”
Avslöjandet sammanfaller med framväxten av en ny kampanj som riktar sig mot Trust Wallet-användare på datorer med förfalskade versioner som distribueras via vilseledande nedladdningslänkar, nätfiskemejl eller medföljande programvara. Målet är att samla in webbläsaruppgifter, extrahera data från datorbaserade plånböcker och webbläsartillägg, exekvera kommandon och fungera som en skadlig kod .
“När den är installerad kan skadlig programvara söka efter plånboksfiler, fånga upp data från urklipp eller övervaka webbläsarsessioner för att fånga upp såfraser eller privata nycklar”, säger Point Wild-forskaren Kedar S Pandit i en rapport som publicerades denna vecka.
