Chaos恶意软件重新出现,新的DDoS和加密模块有任何相似之处。它现在以已知的安全漏洞为目标,发起分布式拒绝服务(DDoS)攻击,并对文件进行加密攻击。BlackLotusLabs(LumenTechnologies的威胁情报部门)的研究人员最近观察到一个用中文编写的恶意软件。在9月28日发布的一篇博客文章中,他们表示该软件利用了中国的基础设施,并表现出与勒索软件制造商上次攻击截然不同的行为。事实上,研究人员之前观察到的Chaos变体与最近100个不同的Chaos样本之间的差异是如此之大,以至于他们说它现在构成了一个全新的威胁。事实上,研究人员认为,最新变种实际上是KaijiDDoS僵尸网络的新版本,勒索病毒可能不是过去在野观察到的Chaos勒索病毒生成器。2020年发现的Kaiji最初是一个针对基于Linux的AMD和i386服务器的僵尸网络,利用SSH暴力破解进行控制,进而发起DDoS攻击。研究人员表示,Chaos现在已经开发了Kaiji原始版本的攻击能力,例如使用新架构的模块,包括新添加的传播模块,例如CVE漏洞利用和SSH密钥收集。Chaos最近的攻击活动在最近的一次攻击活动中,Chaos成功攻陷了GitLab服务器并发起了一系列针对游戏、金融服务和技术、媒体和娱乐行业以及DDoS即服务提供商和加密货币交易所攻击。据研究人员称,Chaos现在不仅针对企业和其他大型组织,还针对在企业安全模型中不经常监控的设备和系统,例如SOHO路由器和FreeBSD操作系统。研究人员表示,虽然上次在野外发现Chaos时,它的行为更像是进入网络的典型勒索软件,最终目的是加密文件,但最新软件变体背后的黑客还有其他不同的动机。据研究人员称,其跨平台和跨设备的性质,以及最新混沌活动背后网络基础设施的隐蔽配置,似乎表明该活动旨在感染网络的大面积区域进行初始访问,DDoS攻击和文件加密。主要区别和相似之处研究人员表示,虽然之前的Chaos样本是用.net编写的,但最新的恶意软件是用Go编写的,由于其跨平台的灵活性、低防病毒检测率和逆向工程,Go正迅速成为首选语言对于威胁行为者。事实上,最新版本的Chaos如此强大的原因之一是它可以在多个平台上运行,不仅包括Windows和Linux操作系统,还包括ARM、Intel(i386)、MIPS和PowerPC。它的传播方式也与以前的恶意软件截然不同。研究人员指出,虽然研究人员无法确定它使用的初始访问向量,但一旦它控制了系统,最新的Chaos变体就会利用已知漏洞进行更广泛的攻击。他们在帖子中写道,在我们分析的样本中,发现被利用的华为(CVE-2017-17215)和合勤(CVE-2022-30525)防火墙的CVE属于未授权远程命令行注入漏洞。然而,对于攻击者来说,仅仅利用这些CVE漏洞似乎收效甚微,我们估计攻击者很可能会利用其他CVE漏洞。研究人员表示,自2021年6月首次出现以来,Chaos确实经历了多次演变,这次发现的最新版本不太可能是最后一次。它的第一个迭代,chaos1.0-3.0,据称是Ryuk勒索软件.net版本的构建者,但研究人员很快发现它与Ryuk几乎没有相似之处,实际上是一个文件擦除器删除设备。该恶意软件演变为多个版本,直到2021年底发布第四版ChaosBuilder,当名为Onyx的威胁组织创建了自己的勒索软件时,大大提高了其攻击能力。这个版本的工具正迅速成为最常见的混沌版本,其主要功能是加密主机上的敏感文件。5月初,Chaos的创建者将其文件擦除功能换成了加密,并出现了一个名为Yashma的更名二进制文件,其中包含一个成熟的勒索软件。尽管BlackLotusLabs观察到的Chaos的最新演变与之前的有很大不同,但它确实有一个非常显着的相似之处——增长迅速且不太可能在短时间内减速。最新版混沌证书生成时间为4月16日。随后,研究人员认为威胁行为者在野外发布了新的变种。研究人员表示,从那以后,混沌自签名证书的数量出现了“显着增长”,5月份翻了一番多,达到39个,8月份跃升至93个。他们说,在截至9月20日的一个月内生成的94个证书已经超过了上个月的总数。全面降低风险由于Chaos现在的目标是从最小的家庭办公室到最大的企业,因此研究人员对每种类型的目标都有具体的补救建议。对于那些企业网络,他们建议网络管理员及时对新发现的漏洞进行补丁管理,因为这是混乱蔓延的主要途径。研究人员建议使用本报告中概述的IoC来监控Chaos感染并防止连接到任何可疑的基础设施。小型办公室和家庭办公室路由器的用户应遵循定期重启路由器并安装安全更新,并在主机上正确配置和更新EDR的原则。这些用户还应该通过应用供应商的更新来定期修补软件。研究人员建议,在过去两年的大流行期间,远程工作人员受到攻击的脆弱性显着增加,应该通过及时更改默认密码和禁用不需要远程root访问权限的机器来降低风险。这些工作人员还应该安全地存储SSH密钥,并且只存储在需要使用它们的设备上。对于所有企业,BlackLotusLabs建议考虑使用ComprehensiveSecurityAccessServiceAdvantage(SASE)和DDoS缓解保护来增强其整体安全态势并及时检测网络通信的稳健性。本文翻译自:https://www.darkreading.com/attacks-breaches/chaos-malware-resurfaces-go-based-ddos-cryptomining-threat如有转载请注明出处。
