強(qiáng)大的Chaos惡意軟件已經(jīng)再次升級(jí)，演變成了一個(gè)新的基于Go的多平臺(tái)威脅軟件，并且與之前迭代的勒索軟件沒(méi)有任何相似之處。它現(xiàn)在以已知的安全漏洞為目標(biāo)，發(fā)起分布式拒絕服務(wù)（DDoS）攻擊，并對(duì)文件進(jìn)行加密攻擊。

黑蓮花實(shí)驗(yàn)室（Lumen Technologies的威脅情報(bào)部門(mén)）的研究人員最近觀察到了一個(gè)用中文編寫(xiě)的惡意軟件。他們?cè)?月28日發(fā)表的一篇博文中說(shuō)，該軟件利用中國(guó)的基礎(chǔ)設(shè)施，并且此次表現(xiàn)出了與該勒索軟件制造商最后一次攻擊方式大不相同的行為。

事實(shí)上，研究人員早期觀察到的Chaos變體與最近的100個(gè)不同的Chaos樣本之間的區(qū)別還是非常大的，以至于他們說(shuō)它現(xiàn)在已經(jīng)形成了一種全新的威脅。事實(shí)上，研究人員認(rèn)為最新的變體實(shí)際上是DDoS僵尸網(wǎng)絡(luò)Kaiji的新版本，而且此次勒索軟件可能并不是以往在野外觀察到的Chaos勒索軟件構(gòu)建者。

2020年發(fā)現(xiàn)的Kaiji，它最初是針對(duì)基于Linux的AMD和i386服務(wù)器，利用SSH暴力攻擊來(lái)進(jìn)行控制，然后發(fā)動(dòng)DDoS攻擊的僵尸網(wǎng)絡(luò)。研究人員說(shuō)，Chaos現(xiàn)在已經(jīng)發(fā)展了Kaiji原始版本的攻擊能力，比如使用新架構(gòu)的模塊，包括通過(guò)CVE利用和SSH密鑰采集等新增加的傳播模塊。

Chaos 最近的攻擊活動(dòng)

在最近的攻擊活動(dòng)中，Chaos成功侵入了一個(gè)GitLab服務(wù)器，并展開(kāi)了一系列針對(duì)游戲、金融服務(wù)和技術(shù)、媒體和娛樂(lè)行業(yè)以及DDoS即服務(wù)提供商和加密貨幣交易所的DDoS攻擊。

研究人員稱，Chaos現(xiàn)在不僅瞄準(zhǔn)了企業(yè)和其他的大型組織，還瞄準(zhǔn)了那些企業(yè)安全模型中沒(méi)有被常規(guī)監(jiān)控的設(shè)備和系統(tǒng)，如SOHO路由器和FreeBSD OS。

研究人員表示，盡管上次Chaos在野外被發(fā)現(xiàn)時(shí)，它的攻擊行為更像是典型的勒索軟件，進(jìn)入到網(wǎng)絡(luò)后，其最終目的是進(jìn)行文件加密，但最新的軟件變體背后的黑客卻有其他不同的動(dòng)機(jī)。

據(jù)研究人員稱，其跨平臺(tái)和跨設(shè)備的特性以及最新Chaos攻擊活動(dòng)背后的網(wǎng)絡(luò)基礎(chǔ)設(shè)施的隱身配置似乎表明，該攻擊活動(dòng)的目的是感染大面積的網(wǎng)絡(luò)，便于進(jìn)行初始化訪問(wèn)、DDoS攻擊和文件加密。

關(guān)鍵的不同點(diǎn)和一個(gè)相似之處

研究人員說(shuō)，以前的Chaos樣本是用 .net 編寫(xiě)的，而最新的惡意軟件是用Go編寫(xiě)的，由于其跨平臺(tái)的靈活性、低殺毒檢測(cè)率和逆向分析的難度，Go正迅速成為威脅行為者的首選語(yǔ)言。

事實(shí)上，最新版本的Chaos如此強(qiáng)大的原因之一是它可以在多個(gè)平臺(tái)上進(jìn)行運(yùn)行，不僅包括Windows和Linux操作系統(tǒng)，還包括ARM、英特爾(i386)、MIPS和PowerPC。

它的傳播方式也與之前的惡意軟件大不相同。研究人員指出，雖然研究人員無(wú)法確定其使用的初始訪問(wèn)向量，但一旦它控制了這個(gè)系統(tǒng)，最新的Chaos變種就會(huì)利用已知的漏洞，進(jìn)行更大范圍的攻擊。

他們?cè)谔又袑?xiě)到，在我們分析的樣本中，所發(fā)現(xiàn)利用的華為(CVE-2017-17215)和Zyxel (CVE-2022-30525) 防火墻的cve，都屬于未經(jīng)認(rèn)證的遠(yuǎn)程命令行注入漏洞。然而，對(duì)于攻擊者來(lái)說(shuō)，僅僅使用這些CVE漏洞作用似乎是很小的，我們估計(jì)，攻擊者很可能還利用了其他CVE漏洞。

研究人員表示，自其2021年6月首次出現(xiàn)以來(lái)，chaos確實(shí)經(jīng)歷了多次演變，同時(shí)，這次發(fā)現(xiàn)的最新版本也不大可能是最后一次更新。它的第一個(gè)迭代版本，chaos 1.0-3.0，據(jù)稱是一個(gè) .net 版本的Ryuk勒索軟件的構(gòu)建器，但研究人員很快發(fā)現(xiàn)它與Ryuk幾乎沒(méi)有任何相似之處， 實(shí)際上是一個(gè)文件擦除裝置。

該惡意軟件進(jìn)化出了多個(gè)版本，直到2021年底發(fā)布的chaos構(gòu)建器的第四個(gè)版本，在一個(gè)名為Onyx的威脅組織創(chuàng)建自己的勒索軟件時(shí)攻擊能力上得到了很大的提升。這個(gè)版本的工具很快成為最常見(jiàn)的chaos版本，其主要功能在于加密主機(jī)的敏感文件。

今年5月早些時(shí)候，Chaos的構(gòu)建者將其文件擦除功能換成了加密功能，并且出現(xiàn)了一個(gè)名為Yashma的重新命名的二進(jìn)制文件，其中就包含了功能完全成熟的勒索軟件。

研究人員說(shuō)，盡管黑蓮花實(shí)驗(yàn)室所觀察到的Chaos的最新發(fā)展趨勢(shì)與之前的發(fā)展趨勢(shì)有很大的不同，但它確實(shí)有一個(gè)非常顯著的相似之處——增長(zhǎng)迅速，而且不太可能在短時(shí)間內(nèi)放緩。

最新版本的chaos證書(shū)是在4月16日生成的。隨后，研究人員認(rèn)為，有威脅的攻擊者在野外發(fā)布了新的變種病毒。

研究人員表示，自那以后，Chaos自簽名證書(shū)的數(shù)量出現(xiàn)了“明顯的增長(zhǎng)”，5月份增加了一倍多，達(dá)到39個(gè)，8月份則躍升至93個(gè)。他們說(shuō)，截至9月20日，當(dāng)月生成的94張證書(shū)已經(jīng)超過(guò)了上月的總數(shù)。

全面降低風(fēng)險(xiǎn)

由于Chaos現(xiàn)在的攻擊對(duì)象從最小的家庭辦公室到最大的企業(yè)，研究人員對(duì)每種類型的目標(biāo)都提出了具體的修復(fù)建議。

對(duì)于那些企業(yè)網(wǎng)絡(luò)，他們建議網(wǎng)絡(luò)管理員及時(shí)對(duì)新發(fā)現(xiàn)的漏洞進(jìn)行補(bǔ)丁管理，因?yàn)檫@是chaos進(jìn)行傳播的主要方式。

研究人員建議，使用這份報(bào)告中概述的IoCs來(lái)監(jiān)控Chaos的感染，防止其與任何可疑基礎(chǔ)設(shè)施的連接。

使用小型辦公室和家庭辦公室路由器的用戶應(yīng)該遵循定期重新啟動(dòng)路由器和安裝安全更新的原則，并在主機(jī)上進(jìn)行正確的配置以及更新EDR 。這些用戶還應(yīng)該定期通過(guò)應(yīng)用供應(yīng)商的更新來(lái)給軟件打補(bǔ)丁。

研究人員建議，在過(guò)去兩年的大流行疾病中，遠(yuǎn)程工作人員受到攻擊的可能性顯著增加，應(yīng)該通過(guò)及時(shí)更改默認(rèn)密碼和禁用不需要遠(yuǎn)程root訪問(wèn)的機(jī)器來(lái)減少風(fēng)險(xiǎn)。這些工作人員還應(yīng)該安全地存儲(chǔ)SSH密鑰，并且只在需要使用它們的設(shè)備上進(jìn)行存儲(chǔ)。

對(duì)于所有企業(yè)，黑蓮花實(shí)驗(yàn)室建議考慮使用綜合安全訪問(wèn)服務(wù)優(yōu)勢(shì)(SASE)和DDoS緩解保護(hù)，增強(qiáng)其整體安全態(tài)勢(shì)，并及時(shí)對(duì)網(wǎng)絡(luò)通信的健壯性檢測(cè)。

本文翻譯自：https://www.darkreading.com/attacks-breaches/chaos-malware-resurfaces-go-based-ddos-cryptomining-threat如若轉(zhuǎn)載，請(qǐng)注明原文地址。