Trusseljegere retter oppmerksomheten mot en ny variant av en trojaner for fjerntilgang (RAT) kalt Kaosrotte og som har blitt brukt i nylige angrep rettet mot Windows- og Linux-systemer.

Ifølge funn fra Acronis kan skadevaren ha blitt distribuert ved å lure ofre til å laste ned et feilsøkingsverktøy for nettverk for Linux-miljøer.

“Chaos RAT er et RAT-program med åpen kildekode skrevet i Golang, som tilbyr støtte på tvers av plattformer for både Windows- og Linux-systemer.”, sier sikkerhetsforskerne Santiago Pontiroli, Gabor Molnar og Kirill Antonenko i en rapport delt med The Hacker News.

Annonse

“Inspirert av populære rammeverk som Cobalt Strike og Sliver, tilbyr Chaos RAT et administrativt panel der brukere kan bygge nyttelaster, etablere økter og kontrollere kompromitterte maskiner.”

Selv om arbeidet med “verktøyet for fjernadministrasjon” startet tilbake i 2017, vakte det ikke oppmerksomhet før Desember 2022 , da den ble brukt i en ondsinnet kampanje rettet mot offentlige webapplikasjoner som kjører på Linux-systemer med kryptovalutamineren XMRig.

Når den er installert, kobler skadevaren seg til en ekstern server og venter på kommandoer som lar den starte reverse shells, laste opp/laste ned/slette filer, liste opp filer og mapper, ta skjermbilder, samle inn systeminformasjon, låse/starte på nytt/slå av maskinen og åpne vilkårlige URL-er. Den nyeste versjonen av Chaos RAT er 5.0.3, som ble utgitt 31. mai 2024.

Acronis sa at Linux-varianter av skadevaren siden har blitt oppdaget ute i naturen, ofte i forbindelse med kryptovaluta-utvinningskampanjer. Angrepskjeder observert av selskapet viser at Chaos RAT distribueres til ofrene. via phishing-e-poster som inneholder ondsinnede lenker eller vedlegg.

Disse artefaktene er utformet for å slippe et ondsinnet skript som kan endre oppgaveplanleggeren “/etc/crontab” til å laste ned skadelig programvare med jevne mellomrom for å sette opp persistens.

“Tidlige kampanjer brukte denne teknikken til å levere kryptovaluta-minere og Chaos RAT separat, noe som indikerer at Chaos primært ble brukt til rekognosering og informasjonsinnsamling på kompromitterte enheter”, sa han. forskerne.

En analyse av en nylig lastet inn eksempel lastet opp til VirusTotal i januar 2025 fra India med navnet “NetworkAnalyzer.tar.gz” har reist muligheten for at brukere blir lurt til å laste ned skadelig programvare ved å late som om de er et feilsøkingsverktøy for nettverk. Linux-miljøer.

I tillegg har administrasjonspanelet som lar brukere bygge nyttelaster og administrere infiserte maskiner vist seg å være sårbart for en kommandoinjeksjonssårbarhet ( CVE-2024-30850 , CVSS-poengsum: 8,8) som kan kombineres med en feil i skripting på tvers av nettsteder ( CVE-2024-31839 , CVSS-poengsum: 4,8) for å kjøre vilkårlig kode på serveren med utvidede rettigheter. Begge sårbarhetene har siden blitt oppdatert av Chaos RAT-utviklere per mai 2024.

Selv om det for øyeblikket ikke er klart hvem som står bak bruken av Kaosrotte I angrep i den virkelige verden illustrerer utviklingen nok en gang hvordan trusselaktører fortsetter å utnytte åpen kildekode-verktøy til sin fordel og forvirre attribusjonsarbeidet.

“Det som starter som en utviklerverktøy kan raskt bli en trusselaktørs førstevalg”, sa forskerne. Bruk av offentlig tilgjengelige skadelig programvare hjelper APT-grupper med å gli inn i støyen fra hverdagens nettkriminalitet. Skadevare med åpen kildekode tilbyr et ’godt nok’ verktøysett som raskt kan tilpasses og distribueres. Når flere aktører bruker den samme skadevare med åpen kildekode, blir det uklart hva som menes.”

Avsløringen sammenfaller med fremveksten av en ny kampanje som retter seg mot Trust Wallet-brukere på datamaskiner med forfalskede versjoner distribuert via villedende nedlastingslenker, phishing-e-poster eller medfølgende programvare. Målet er å samle inn nettleserdata, trekke ut data fra skrivebordslommebøker og nettleserutvidelser, utføre kommandoer og fungere som en skadelig programvare .

“Når den er installert, kan skadevaren skanne etter lommebokfiler, hente data fra utklippstavlen eller overvåke nettleserøkter for å fange opp passord eller private nøkler.”, sier Point Wild-forsker Kedar S Pandit i en rapport publisert denne uken.