强大的Chaos恶意软件已经再次升级,演变成了一个新的基于Go的多平台威胁软件,并且与之前迭代的勒索软件没有任何相似之处。它现在以已知的安全漏洞为目标,发起分布式拒绝服务(DDoS)攻击,并对文件进行加密攻击。
黑莲花实验室(Lumen Technologies的威胁情报部门)的研究人员最近观察到了一个用中文编写的恶意软件。他们在9月28日发表的一篇博文中说,该软件利用中国的基础设施,并且此次表现出了与该勒索软件制造商最后一次攻击方式大不相同的行为。
事实上,研究人员早期观察到的Chaos变体与最近的100个不同的Chaos样本之间的区别还是非常大的,以至于他们说它现在已经形成了一种全新的威胁。事实上,研究人员认为最新的变体实际上是DDoS僵尸网络Kaiji的新版本,而且此次勒索软件可能并不是以往在野外观察到的Chaos勒索软件构建者。
2020年发现的Kaiji,它最初是针对基于Linux的AMD和i386服务器,利用SSH暴力攻击来进行控制,然后发动DDoS攻击的僵尸网络。研究人员说,Chaos现在已经发展了Kaiji原始版本的攻击能力,比如使用新架构的模块,包括通过CVE利用和SSH密钥采集等新增加的传播模块。
Chaos 最近的攻击活动
在最近的攻击活动中,Chaos成功侵入了一个GitLab服务器,并展开了一系列针对游戏、金融服务和技术、媒体和娱乐行业以及DDoS即服务提供商和加密货币交易所的DDoS攻击。
研究人员称,Chaos现在不仅瞄准了企业和其他的大型组织,还瞄准了那些企业安全模型中没有被常规监控的设备和系统,如SOHO路由器和FreeBSD OS。
研究人员表示,尽管上次Chaos在野外被发现时,它的攻击行为更像是典型的勒索软件,进入到网络后,其最终目的是进行文件加密,但最新的软件变体背后的黑客却有其他不同的动机。
据研究人员称,其跨平台和跨设备的特性以及最新Chaos攻击活动背后的网络基础设施的隐身配置似乎表明,该攻击活动的目的是感染大面积的网络,便于进行初始化访问、DDoS攻击和文件加密。
关键的不同点和一个相似之处
研究人员说,以前的Chaos样本是用 .net 编写的,而最新的恶意软件是用Go编写的,由于其跨平台的灵活性、低杀毒检测率和逆向分析的难度,Go正迅速成为威胁行为者的首选语言。
事实上,最新版本的Chaos如此强大的原因之一是它可以在多个平台上进行运行,不仅包括Windows和Linux操作系统,还包括ARM、英特尔(i386)、MIPS和PowerPC。
它的传播方式也与之前的恶意软件大不相同。研究人员指出,虽然研究人员无法确定其使用的初始访问向量,但一旦它控制了这个系统,最新的Chaos变种就会利用已知的漏洞,进行更大范围的攻击。
他们在帖子中写到,在我们分析的样本中,所发现利用的华为(CVE-2017-17215)和Zyxel (CVE-2022-30525) 防火墙的cve,都属于未经认证的远程命令行注入漏洞。然而,对于攻击者来说,仅仅使用这些CVE漏洞作用似乎是很小的,我们估计,攻击者很可能还利用了其他CVE漏洞。
研究人员表示,自其2021年6月首次出现以来,chaos确实经历了多次演变,同时,这次发现的最新版本也不大可能是最后一次更新。它的第一个迭代版本,chaos 1.0-3.0,据称是一个 .net 版本的Ryuk勒索软件的构建器,但研究人员很快发现它与Ryuk几乎没有任何相似之处, 实际上是一个文件擦除装置。
该恶意软件进化出了多个版本,直到2021年底发布的chaos构建器的第四个版本,在一个名为Onyx的威胁组织创建自己的勒索软件时攻击能力上得到了很大的提升。这个版本的工具很快成为最常见的chaos版本,其主要功能在于加密主机的敏感文件。
今年5月早些时候,Chaos的构建者将其文件擦除功能换成了加密功能,并且出现了一个名为Yashma的重新命名的二进制文件,其中就包含了功能完全成熟的勒索软件。
研究人员说,尽管黑莲花实验室所观察到的Chaos的最新发展趋势与之前的发展趋势有很大的不同,但它确实有一个非常显著的相似之处——增长迅速,而且不太可能在短时间内放缓。
最新版本的chaos证书是在4月16日生成的。随后,研究人员认为,有威胁的攻击者在野外发布了新的变种病毒。
研究人员表示,自那以后,Chaos自签名证书的数量出现了“明显的增长”,5月份增加了一倍多,达到39个,8月份则跃升至93个。他们说,截至9月20日,当月生成的94张证书已经超过了上月的总数。
全面降低风险
由于Chaos现在的攻击对象从最小的家庭办公室到最大的企业,研究人员对每种类型的目标都提出了具体的修复建议。
对于那些企业网络,他们建议网络管理员及时对新发现的漏洞进行补丁管理,因为这是chaos进行传播的主要方式。
研究人员建议,使用这份报告中概述的IoCs来监控Chaos的感染,防止其与任何可疑基础设施的连接。
使用小型办公室和家庭办公室路由器的用户应该遵循定期重新启动路由器和安装安全更新的原则,并在主机上进行正确的配置以及更新EDR 。这些用户还应该定期通过应用供应商的更新来给软件打补丁。
研究人员建议,在过去两年的大流行疾病中,远程工作人员受到攻击的可能性显著增加,应该通过及时更改默认密码和禁用不需要远程root访问的机器来减少风险。这些工作人员还应该安全地存储SSH密钥,并且只在需要使用它们的设备上进行存储。
对于所有企业,黑莲花实验室建议考虑使用综合安全访问服务优势(SASE)和DDoS缓解保护,增强其整体安全态势,并及时对网络通信的健壮性检测。