Willkommen bei IT-Branchen – Der Kanal für IT-News, Cybersecurity und digitale Trends

Für Unternehmen, Lieferanten und Entscheider der IT-Branche

Digitale Strategie und Insights für Entscheider der IT-Branche

Abonnieren

Bleiben Sie über die wichtigsten Neuigkeiten auf dem Laufenden

Durch Drücken der Schaltfläche „Abonnieren“ bestätigen Sie, dass Sie unsere gelesen haben und damit einverstanden sind. Datenschutzrichtlinie Und Nutzungsbedingungen
Abonnieren
Facebook Twitter Instagram LinkedIn Pinterest
Kontaktieren Sie uns
Chaos RAT-Malware zielt über gefälschte Netzwerk-Tool-Downloads auf Windows und Linux ab Chaos RAT-Malware zielt über gefälschte Netzwerk-Tool-Downloads auf Windows und Linux ab

Chaos RAT verbreitet sich über gefälschte Netzwerktools

IT-BranchevonIT-Branche
4. Juni 2025

Bedrohungsanalysten richten ihr Augenmerk auf eine neue Variante eines Remote-Access-Trojaners (RAT) namens Chaos RAT und die bei jüngsten Angriffen auf Windows- und Linux-Systeme eingesetzt wurde.

Nach Erkenntnissen von Acronis wurde die Malware möglicherweise dadurch verbreitet, dass die Opfer dazu verleitet wurden, ein Netzwerk-Fehlerbehebungstool für Linux-Umgebungen herunterzuladen.

“Chaos RAT ist ein Open-Source-RAT-Programm, das in Golang geschrieben ist und plattformübergreifende Unterstützung für Windows- und Linux-Systeme bietet.”, sagt Die Sicherheitsforscher Santiago Pontiroli, Gabor Molnar und Kirill Antonenko in einem Bericht, der mit The Hacker News geteilt wurde.

Chaos-RAT verbreitet sich über gefälschte Netzwerktools | IT-Branche
Werbung

“Chaos RAT wurde von populären Frameworks wie Cobalt Strike und Sliver inspiriert und bietet ein Administrationspanel, über das Benutzer Payloads erstellen, Sitzungen aufbauen und kompromittierte Rechner kontrollieren können.”

Obwohl die Arbeiten an dem “Fernverwaltungstool” bereits 2017 begannen, erregten sie erst später Aufmerksamkeit. Dezember 2022 , als es in einer bösartigen Kampagne eingesetzt wurde, die auf öffentliche Webanwendungen abzielte, die auf Linux-Systemen mit dem Kryptowährungs-Miner XMRig liefen.

Nach der Installation stellt die Malware eine Verbindung zu einem externen Server her und wartet auf Befehle, die es ihr ermöglichen, Reverse Shells zu starten, Dateien hoch-/herunterzuladen/zu löschen, Dateien und Verzeichnisse aufzulisten, Screenshots zu erstellen, Systeminformationen zu sammeln, den Rechner zu sperren/neu zu starten/herunterzufahren und beliebige URLs zu öffnen. Die neueste Version von Chaos RAT ist 5.0.3 und wurde am 31. Mai 2024 veröffentlicht.

Acronis gab bekannt, dass Linux-Varianten der Malware inzwischen in freier Wildbahn entdeckt wurden, häufig im Zusammenhang mit Kryptowährungs-Mining-Kampagnen. Die vom Unternehmen beobachteten Angriffsketten zeigen, dass die Chaos-RAT an Opfer verteilt wird. über Phishing-E-Mails mit schädlichen Links oder Anhänge.

Diese Artefakte sind so konzipiert, dass sie ein bösartiges Skript ablegen, das den Aufgabenplaner “/etc/crontab” so verändern kann, dass regelmäßig Schadsoftware heruntergeladen wird, um eine dauerhafte Installation zu gewährleisten.

Gefälschte Netzwerk-Tool-Downloads

“Frühe Kampagnen nutzten diese Technik, um Kryptowährungs-Miner und den Chaos RAT separat zu verteilen, was darauf hindeutet, dass Chaos in erster Linie zur Aufklärung und Informationsbeschaffung auf kompromittierten Geräten eingesetzt wurde”, sagte er. die Forscher.

Eine Analyse von kürzlich geladene Probe Eine im Januar 2025 aus Indien auf VirusTotal hochgeladene Datei mit dem Namen “NetworkAnalyzer.tar.gz” hat die Möglichkeit aufgeworfen, dass Benutzer durch die Vortäuschung, ein Netzwerk-Fehlerbehebungstool zu sein, zum Herunterladen von Schadsoftware verleitet werden. Linux-Umgebungen.

Darüber hinaus wurde festgestellt, dass das Admin-Panel, mit dem Benutzer Payloads erstellen und infizierte Rechner verwalten können, anfällig für eine Command-Injection-Schwachstelle ist ( CVE-2024-30850 , CVSS-Wert: 8,8), der mit einer Cross-Site-Scripting-Schwachstelle kombiniert werden kann ( CVE-2024-31839 , CVSS-Wert: 4,8) für um beliebigen Code auszuführen auf dem Server mit erhöhten Berechtigungen. Beide Sicherheitslücken wurden von den Entwicklern von Chaos RAT im Mai 2024 behoben.

Obwohl derzeit unklar ist, wer hinter der Verwendung von Chaos RAT Bei Angriffen in der realen Welt verdeutlicht diese Entwicklung einmal mehr, wie Bedrohungsakteure Open-Source-Tools weiterhin zu ihrem Vorteil nutzen und die Zuordnung erschweren.

“Was als ein Entwicklertools können schnell werden ”Die erste Wahl eines Bedrohungsakteurs“, so die Forscher. Verwendung öffentlich verfügbarer Daten Malware Hilft APT-Gruppen, im Rauschen der alltäglichen Cyberkriminalität unterzutauchen. Open-Source-Malware bietet ein ausreichend gutes Werkzeugset, das schnell angepasst und eingesetzt werden kann. Wenn mehrere Akteure dieselbe Open-Source-Malware verwenden, wird unklar, was damit gemeint ist.’

Die Enthüllung fällt zeitlich mit dem Auftauchen einer neuen Kampagne zusammen, die Trust Wallet-Nutzer auf Computern mit gefälschten Versionen ins Visier nimmt. Diese werden über irreführende Download-Links, Phishing-E-Mails oder Softwarepakete verbreitet. Ziel ist es, Browserdaten zu sammeln, Daten aus Desktop-Wallets und Browsererweiterungen zu extrahieren, Befehle auszuführen und als deren Identität zu agieren. Schadsoftware .

“Nach der Installation kann die Schadsoftware nach Wallet-Dateien suchen, Daten aus der Zwischenablage erfassen oder Browsersitzungen überwachen, um Passphrasen oder private Schlüssel abzufangen.”, sagt Der Point-Wild-Forscher Kedar S Pandit veröffentlichte diese Woche einen Bericht.

Aktie
Aktie
Pin es
Tweet
Aktie
Aktie
IT-BranchevonIT-Branche
Veröffentlicht

Bleiben Sie über die wichtigsten Neuigkeiten auf dem Laufenden

Durch Drücken der Schaltfläche „Abonnieren“ bestätigen Sie, dass Sie unsere gelesen haben und damit einverstanden sind. Datenschutzrichtlinie Und Nutzungsbedingungen
Convendum-Banner
Werbung

MEHR LESEN