Uhkien metsästäjät kiinnittävät huomionsa uuteen etäkäyttötroijalaisen (RAT) varianttiin nimeltä Kaaosrotta ja jota on käytetty viimeaikaisissa Windows- ja Linux-järjestelmiin kohdistuneissa hyökkäyksissä.

Acronisin havaintojen mukaan haittaohjelma on saatettu levittää huijaamalla uhreja lataamaan Linux-ympäristöihin tarkoitettu verkon vianmääritystyökalu.

“Chaos RAT on avoimen lähdekoodin RAT-ohjelma, joka on kirjoitettu golang-kielellä ja tarjoaa alustariippumattoman tuen sekä Windows- että Linux-järjestelmille.”, sanoo turvallisuustutkijat Santiago Pontiroli, Gabor Molnar ja Kirill Antonenko The Hacker Newsille jaetussa raportissa.

Mainos

“Suosittujen kehysten, kuten Cobalt Strike ja Sliver, inspiroimana Chaos RAT tarjoaa hallintapaneelin, jossa käyttäjät voivat rakentaa hyötykuormia, muodostaa istuntoja ja hallita vaarantuneita koneita.”

Vaikka “etähallintatyökalun” kehittäminen aloitettiin jo vuonna 2017, se ei herättänyt huomiota ennen kuin Joulukuu 2022 , kun sitä käytettiin haitallisessa kampanjassa, joka kohdisti kohteensa Linux-järjestelmissä toimivia julkisia verkkosovelluksia XMRig-kryptovaluutan louhintaohjelmalla.

Asennuksen jälkeen haittaohjelma muodostaa yhteyden ulkoiseen palvelimeen ja odottaa komentoja, jotka mahdollistavat käänteisten komentotulkkien käynnistämisen, tiedostojen lataamisen/poistamisen, tiedostojen ja hakemistojen listaamisen, kuvakaappausten ottamisen, järjestelmätietojen keräämisen, koneen lukitsemisen/uudelleenkäynnistyksen/sammuttamisen ja mielivaltaisten URL-osoitteiden avaamisen. Chaos RATin uusin versio on 5.0.3, joka julkaistiin 31. toukokuuta 2024.

Acronisin mukaan haittaohjelman Linux-versioita on sittemmin löydetty luonnosta, usein kryptovaluuttojen louhintakampanjoiden yhteydessä. Yrityksen havaitsemat hyökkäysketjut osoittavat, että Chaos RAT -virusta levitetään uhreille. haitallisia tietoja sisältävien tietojenkalasteluviestien kautta linkkejä tai liitteitä.

Nämä artefaktit on suunniteltu pudottamaan haitallinen komentosarja, joka voi muokata tehtävien ajoitusta “/etc/crontab” ladatakseen haittaohjelmia säännöllisesti pysyvyyden varmistamiseksi.

“Varhaisissa kampanjoissa tätä tekniikkaa käytettiin kryptovaluutan louhijoiden ja Chaos RAT:n toimittamiseen erikseen, mikä viittaa siihen, että Chaosta käytettiin ensisijaisesti tiedusteluun ja tiedonkeruuseen vaarantuneilla laitteilla”, hän sanoi. tutkijat.

Analyysi a:sta äskettäin ladattu näyte Intiasta tammikuussa 2025 VirusTotaliin nimellä “NetworkAnalyzer.tar.gz” ladattu tiedosto on nostanut esiin mahdollisuuden, että käyttäjiä huijataan lataamaan haittaohjelmia teeskentelemällä olevansa verkon vianmääritystyökalu. Linux-ympäristöt.

Lisäksi hallintapaneelin, jonka avulla käyttäjät voivat luoda hyötykuormia ja hallita tartunnan saaneita koneita, on havaittu olevan altis komentojen injektiohaavoittuvuudelle ( CVE-2024-30850 , CVSS-pistemäärä: 8,8), joka voidaan yhdistää sivustojenväliseen komentosarjojen suorittamiseen liittyvään virheeseen ( CVE-2024-31839 , CVSS-pisteet: 4,8) suorittaa mielivaltaista koodia palvelimella laajennetuilla oikeuksilla. Chaos RAT -kehittäjät ovat sittemmin korjanneet molemmat haavoittuvuudet toukokuussa 2024.

Vaikka tällä hetkellä ei ole selvää, kuka on käytön takana Kaaosrotta Todellisissa hyökkäyksissä kehitys osoittaa jälleen kerran, kuinka uhkatoimijat jatkavat avoimen lähdekoodin työkalujen aseistamista edukseen ja hämmentävät attribuutiopyrkimyksiä.

“"Mikä alkaa yhdeltä kehittäjätyökaluista voi nopeasti tulla uhkatoimijan ensisijainen valinta”, tutkijat sanoivat. Käyttämällä julkisesti saatavilla olevia haittaohjelma auttaa APT-ryhmiä sulautumaan jokapäiväisen kyberrikollisuuden meluun. Avoimen lähdekoodin haittaohjelmat tarjoavat ’riittävän hyvän’ työkalupakin, jota voidaan nopeasti mukauttaa ja ottaa käyttöön. Kun useat toimijat käyttävät samaa avoimen lähdekoodin haittaohjelmaa, on epäselvää, mitä sillä tarkoitetaan.”

Paljastus osuu yksiin uuden kampanjan kanssa, joka kohdistuu Trust Wallet -käyttäjiin tietokoneilla, joilla on väärennettyjä versioita, joita levitetään harhaanjohtavien latauslinkkien, tietojenkalasteluviestien tai paketoitujen ohjelmistojen kautta. Tavoitteena on kerätä selaintietoja, poimia tietoja työpöytälompakoista ja selainlaajennuksista, suorittaa komentoja ja toimia... haittaohjelma .

“"Asennuksen jälkeen haittaohjelma voi etsiä lompakkotiedostoja, tallentaa tietoja leikepöydältä tai valvoa selainistuntoja tallentaakseen salasanoja tai yksityisiä avaimia.", sanoo Point Wildin tutkija Kedar S Pandit tällä viikolla julkaistussa raportissa.