Welkom bij IT-Branschen – Het kanaal voor IT-nieuws, cybersecurity en digitale trends

Voor bedrijven, leveranciers en besluitvormers in de IT-sector

Digitale strategie en inzichten voor besluitvormers in de IT-sector

Abonneren

Blijf op de hoogte van het belangrijkste nieuws

Door op de knop Abonneren te klikken, bevestigt u dat u onze voorwaarden hebt gelezen en ermee akkoord gaat. privacybeleid En gebruiksvoorwaarden
Abonneren
Facebook Twitter Instagram LinkedIn Pinterest
Neem contact met ons op
Chaos RAT-malware richt zich op Windows en Linux via nep-downloads van netwerktools Chaos RAT-malware richt zich op Windows en Linux via nep-downloads van netwerktools

Chaos RAT verspreidt zich via nep-netwerktools

IT-industriedoorIT-industrie
4 juni 2025

Bedreigingsjagers richten hun aandacht op een nieuwe variant van een remote access trojan (RAT) genaamd Chaos RAT en dat is gebruikt in recente aanvallen op Windows- en Linux-systemen.

Volgens bevindingen van Acronis is de malware mogelijk verspreid door slachtoffers ertoe te verleiden een tool voor het oplossen van netwerkproblemen voor Linux-omgevingen te downloaden.

“Chaos RAT is een open-source RAT-programma geschreven in Golang, dat platformonafhankelijke ondersteuning biedt voor zowel Windows- als Linux-systemen.”, zegt beveiligingsonderzoekers Santiago Pontiroli, Gabor Molnar en Kirill Antonenko in een rapport dat werd gedeeld met The Hacker News.

Chaos RAT verspreidt zich via nep-netwerktools | IT-sector
Advertentie

“Geïnspireerd door populaire frameworks zoals Cobalt Strike en Silver, biedt Chaos RAT een administratief paneel waarmee gebruikers payloads kunnen bouwen, sessies kunnen opzetten en gecompromitteerde machines kunnen beheren.”

Hoewel de werkzaamheden aan de “tool voor beheer op afstand” al in 2017 begonnen, trok het pas aandacht toen December 2022 , toen het werd gebruikt in een kwaadaardige campagne die gericht was op openbare webapplicaties die draaiden op Linux-systemen met de XMRig-cryptovaluta-miner.

Nadat de malware is geïnstalleerd, maakt deze verbinding met een externe server en wacht op opdrachten waarmee reverse shells kunnen worden gestart, bestanden kunnen worden geüpload/download/verwijderd, bestanden en mappen kunnen worden weergegeven, schermafbeeldingen kunnen worden gemaakt, systeemgegevens kunnen worden verzameld, de machine kan worden vergrendeld/opnieuw opgestart/afgesloten en willekeurige URL's kunnen worden geopend. De nieuwste versie van Chaos RAT is 5.0.3, die op 31 mei 2024 werd uitgebracht.

Acronis meldde dat er inmiddels Linux-varianten van de malware in het wild zijn aangetroffen, vaak in combinatie met cryptovalutaminingcampagnes. Aanvalsketens die het bedrijf observeerde, tonen aan dat de Chaos RAT wordt verspreid onder slachtoffers. via phishing-e-mails met schadelijke inhoud links of bijlagen.

Deze artefacten zijn ontworpen om een schadelijk script te laten vallen dat de taakplanner “/etc/crontab” kan wijzigen om periodiek malware te downloaden en zo persistentie in te stellen.

Nep-netwerktooldownloads

“"Eerste campagnes gebruikten deze techniek om cryptovaluta-miners en de Chaos RAT afzonderlijk af te leveren, wat aangeeft dat Chaos voornamelijk werd gebruikt voor verkenning en het verzamelen van informatie over gecompromitteerde apparaten", aldus hij. de onderzoekers.

Een analyse van een recent geladen monster geüpload naar VirusTotal in januari 2025 vanuit India met de naam "NetworkAnalyzer.tar.gz" heeft de mogelijkheid doen ontstaan dat gebruikers worden misleid om malware te downloaden door zich voor te doen als een netwerkprobleemoplossingstool voor Linux-omgevingen.

Bovendien is gebleken dat het beheerderspaneel waarmee gebruikers payloads kunnen bouwen en geïnfecteerde machines kunnen beheren, kwetsbaar is voor een kwetsbaarheid voor opdrachtinjectie ( CVE-2024-30850 , CVSS-score: 8,8) die gecombineerd kan worden met een cross-site scripting-fout ( CVE-2024-31839 , CVSS-score: 4,8) voor willekeurige code uitvoeren op de server met verhoogde rechten. Beide kwetsbaarheden zijn inmiddels gepatcht door Chaos RAT-ontwikkelaars vanaf mei 2024.

Hoewel het momenteel niet duidelijk is wie er achter het gebruik van zit, Chaos RAT Bij aanvallen in de echte wereld illustreert de ontwikkeling eens te meer hoe kwaadwillenden opensourcetools blijven misbruiken om hun voordeel te doen en zo de toeschrijving van verdachten in de war te brengen.

“Wat begint als een ontwikkelaarshulpmiddelen kunnen snel worden "De eerste keus van een bedreiger", aldus de onderzoekers. Met behulp van openbaar beschikbare malware helpt APT-groepen op te gaan in de ruis van alledaagse cybercriminaliteit. Open-sourcemalware biedt een 'goed genoeg' toolkit die snel kan worden aangepast en ingezet. Wanneer meerdere actoren dezelfde open-sourcemalware gebruiken, wordt het onduidelijk wat er bedoeld wordt."’

De onthulling valt samen met de opkomst van een nieuwe campagne gericht op Trust Wallet-gebruikers op computers met namaakversies die worden verspreid via misleidende downloadlinks, phishing-e-mails of gebundelde software. Het doel is om browsergegevens te verzamelen, gegevens te extraheren uit desktop wallets en browserextensies, opdrachten uit te voeren en te fungeren als een malware .

“"Nadat de malware is geïnstalleerd, kan deze scannen op portemonneebestanden, gegevens van het klembord vastleggen of browsersessies monitoren om wachtwoordzinnen of privésleutels vast te leggen.", zegt Point Wild-onderzoeker Kedar S Pandit in een deze week gepubliceerd rapport.

Deel
Deel
Vastzetten
Tweeten
Deel
Deel
IT-industriedoorIT-industrie
Gepubliceerd

Blijf op de hoogte van het belangrijkste nieuws

Door op de knop Abonneren te klikken, bevestigt u dat u onze voorwaarden hebt gelezen en ermee akkoord gaat. privacybeleid En gebruiksvoorwaarden
convendumbanner
Advertentie

LEES MEER