Trusseljægere vender deres opmærksomhed mod en ny variant af en fjernadgangstrojan (RAT) kaldet Kaosrotte og som er blevet brugt i nylige angreb rettet mod Windows- og Linux-systemer.

Ifølge resultater fra Acronis kan malwaren være blevet distribueret ved at narre ofrene til at downloade et netværksfejlfindingsværktøj til Linux-miljøer.

“"Chaos RAT er et open source RAT-program skrevet i Golang, der tilbyder cross-platform support til både Windows- og Linux-systemer.", siger sikkerhedsforskerne Santiago Pontiroli, Gabor Molnar og Kirill Antonenko i en rapport delt med The Hacker News.

Reklame

“"Inspireret af populære frameworks som Cobalt Strike og Sliver, tilbyder Chaos RAT et administrativt panel, hvor brugerne kan bygge nyttelast, etablere sessioner og kontrollere kompromitterede maskiner."”

Selvom arbejdet med "fjernadministrationsværktøjet" begyndte tilbage i 2017, tiltrak det ikke opmærksomhed før December 2022 , da den blev brugt i en ondsindet kampagne rettet mod offentlige webapplikationer, der kørte på Linux-systemer med kryptovalutamineren XMRig.

Når malwaren er installeret, opretter den forbindelse til en ekstern server og venter på kommandoer, der tillader den at starte reverse shells, uploade/downloade/slette filer, liste filer og mapper, tage skærmbilleder, indsamle systemoplysninger, låse/genstarte/lukke maskinen og åbne vilkårlige URL'er. Den seneste version af Chaos RAT er 5.0.3, som blev udgivet den 31. maj 2024.

Acronis sagde, at Linux-varianter af malwaren siden er blevet opdaget i naturen, ofte i forbindelse med kryptovaluta-miningkampagner. Angrebskæder observeret af virksomheden viser, at Chaos RAT distribueres til ofrene. via phishing-e-mails, der indeholder ondsindede links eller vedhæftede filer.

Disse artefakter er designet til at droppe et ondsindet script, der kan ændre opgaveplanlæggeren “/etc/crontab”, så den periodisk downloader malware for at konfigurere persistens.

“"Tidlige kampagner brugte denne teknik til at levere kryptovaluta-minere og Chaos RAT separat, hvilket indikerer, at Chaos primært blev brugt til rekognoscering og informationsindsamling på kompromitterede enheder," sagde han. forskerne.

En analyse af en nyligt indlæst prøve uploadet til VirusTotal i januar 2025 fra Indien med navnet “NetworkAnalyzer.tar.gz” har rejst muligheden for, at brugere bliver narret til at downloade malware ved at udgive sig for at være et netværksfejlfindingsværktøj til Linux-miljøer.

Derudover er det konstateret, at administrationspanelet, der giver brugerne mulighed for at bygge nyttelast og administrere inficerede maskiner, er sårbart over for en kommandoinjektionssårbarhed ( CVE-2024-30850 , CVSS-score: 8,8) som kan kombineres med en cross-site scripting-fejl ( CVE-2024-31839 , CVSS-score: 4,8) for at udføre vilkårlig kode på serveren med forhøjede rettigheder. Begge sårbarheder er siden blevet rettet af Chaos RAT-udviklere pr. maj 2024.

Selvom det i øjeblikket ikke er klart, hvem der står bag brugen af Kaosrotte I angreb i den virkelige verden illustrerer udviklingen endnu engang, hvordan trusselsaktører fortsætter med at udnytte open source-værktøjer som våben til deres fordel og forvirre tilskrivningsbestræbelserne.

“"Hvad der starter som en udviklerværktøjer kan hurtigt blive en trusselaktørs førstevalg,” sagde forskerne. Ved hjælp af offentligt tilgængelige malware hjælper APT-grupper med at falde i ét med støjen fra hverdagens cyberkriminalitet. Open source-malware tilbyder et "godt nok" værktøjssæt, der hurtigt kan tilpasses og implementeres. Når flere aktører bruger den samme open source-malware, bliver det uklart, hvad der menes.’

Afsløringen falder sammen med fremkomsten af en ny kampagne, der er rettet mod Trust Wallet-brugere på computere med forfalskede versioner distribueret via vildledende downloadlinks, phishing-e-mails eller medfølgende software. Målet er at indsamle browserdata, udtrække data fra desktop-wallets og browserudvidelser, udføre kommandoer og fungere som en ... malware .

“"Når malwaren er installeret, kan den scanne efter wallet-filer, indsamle data fra udklipsholderen eller overvåge browsersessioner for at indsamle adgangskoder eller private nøgler.", siger Point Wild-forsker Kedar S Pandit i en rapport, der blev offentliggjort i denne uge.