強大的Chaos惡意軟件已經再次升級，演變成了一個新的基于Go的多平臺威脅軟件，并且與之前迭代的勒索軟件沒有任何相似之處。它現在以已知的安全漏洞為目標，發起分布式拒絕服務（DDoS）攻擊，并對文件進行加密攻擊。

黑蓮花實驗室（Lumen Technologies的威脅情報部門）的研究人員最近觀察到了一個用中文編寫的惡意軟件。他們在9月28日發表的一篇博文中說，該軟件利用中國的基礎設施，并且此次表現出了與該勒索軟件制造商最后一次攻擊方式大不相同的行為。

事實上，研究人員早期觀察到的Chaos變體與最近的100個不同的Chaos樣本之間的區別還是非常大的，以至于他們說它現在已經形成了一種全新的威脅。事實上，研究人員認為最新的變體實際上是DDoS僵尸網絡Kaiji的新版本，而且此次勒索軟件可能并不是以往在野外觀察到的Chaos勒索軟件構建者。

2020年發現的Kaiji，它最初是針對基于Linux的AMD和i386服務器，利用SSH暴力攻擊來進行控制，然后發動DDoS攻擊的僵尸網絡。研究人員說，Chaos現在已經發展了Kaiji原始版本的攻擊能力，比如使用新架構的模塊，包括通過CVE利用和SSH密鑰采集等新增加的傳播模塊。

Chaos 最近的攻擊活動

在最近的攻擊活動中，Chaos成功侵入了一個GitLab服務器，并展開了一系列針對游戲、金融服務和技術、媒體和娛樂行業以及DDoS即服務提供商和加密貨幣交易所的DDoS攻擊。

研究人員稱，Chaos現在不僅瞄準了企業和其他的大型組織，還瞄準了那些企業安全模型中沒有被常規監控的設備和系統，如SOHO路由器和FreeBSD OS。

研究人員表示，盡管上次Chaos在野外被發現時，它的攻擊行為更像是典型的勒索軟件，進入到網絡后，其最終目的是進行文件加密，但最新的軟件變體背后的黑客卻有其他不同的動機。

據研究人員稱，其跨平臺和跨設備的特性以及最新Chaos攻擊活動背后的網絡基礎設施的隱身配置似乎表明，該攻擊活動的目的是感染大面積的網絡，便于進行初始化訪問、DDoS攻擊和文件加密。

關鍵的不同點和一個相似之處

研究人員說，以前的Chaos樣本是用 .net 編寫的，而最新的惡意軟件是用Go編寫的，由于其跨平臺的靈活性、低殺毒檢測率和逆向分析的難度，Go正迅速成為威脅行為者的首選語言。

事實上，最新版本的Chaos如此強大的原因之一是它可以在多個平臺上進行運行，不僅包括Windows和Linux操作系統，還包括ARM、英特爾(i386)、MIPS和PowerPC。

它的傳播方式也與之前的惡意軟件大不相同。研究人員指出，雖然研究人員無法確定其使用的初始訪問向量，但一旦它控制了這個系統，最新的Chaos變種就會利用已知的漏洞，進行更大范圍的攻擊。

他們在帖子中寫到，在我們分析的樣本中，所發現利用的華為(CVE-2017-17215)和Zyxel (CVE-2022-30525) 防火墻的cve，都屬于未經認證的遠程命令行注入漏洞。然而，對于攻擊者來說，僅僅使用這些CVE漏洞作用似乎是很小的，我們估計，攻擊者很可能還利用了其他CVE漏洞。

研究人員表示，自其2021年6月首次出現以來，chaos確實經歷了多次演變，同時，這次發現的最新版本也不大可能是最后一次更新。它的第一個迭代版本，chaos 1.0-3.0，據稱是一個 .net 版本的Ryuk勒索軟件的構建器，但研究人員很快發現它與Ryuk幾乎沒有任何相似之處， 實際上是一個文件擦除裝置。

該惡意軟件進化出了多個版本，直到2021年底發布的chaos構建器的第四個版本，在一個名為Onyx的威脅組織創建自己的勒索軟件時攻擊能力上得到了很大的提升。這個版本的工具很快成為最常見的chaos版本，其主要功能在于加密主機的敏感文件。

今年5月早些時候，Chaos的構建者將其文件擦除功能換成了加密功能，并且出現了一個名為Yashma的重新命名的二進制文件，其中就包含了功能完全成熟的勒索軟件。

研究人員說，盡管黑蓮花實驗室所觀察到的Chaos的最新發展趨勢與之前的發展趨勢有很大的不同，但它確實有一個非常顯著的相似之處——增長迅速，而且不太可能在短時間內放緩。

最新版本的chaos證書是在4月16日生成的。隨后，研究人員認為，有威脅的攻擊者在野外發布了新的變種病毒。

研究人員表示，自那以后，Chaos自簽名證書的數量出現了“明顯的增長”，5月份增加了一倍多，達到39個，8月份則躍升至93個。他們說，截至9月20日，當月生成的94張證書已經超過了上月的總數。

全面降低風險

由于Chaos現在的攻擊對象從最小的家庭辦公室到最大的企業，研究人員對每種類型的目標都提出了具體的修復建議。

對于那些企業網絡，他們建議網絡管理員及時對新發現的漏洞進行補丁管理，因為這是chaos進行傳播的主要方式。

研究人員建議，使用這份報告中概述的IoCs來監控Chaos的感染，防止其與任何可疑基礎設施的連接。

使用小型辦公室和家庭辦公室路由器的用戶應該遵循定期重新啟動路由器和安裝安全更新的原則，并在主機上進行正確的配置以及更新EDR 。這些用戶還應該定期通過應用供應商的更新來給軟件打補丁。

研究人員建議，在過去兩年的大流行疾病中，遠程工作人員受到攻擊的可能性顯著增加，應該通過及時更改默認密碼和禁用不需要遠程root訪問的機器來減少風險。這些工作人員還應該安全地存儲SSH密鑰，并且只在需要使用它們的設備上進行存儲。

對于所有企業，黑蓮花實驗室建議考慮使用綜合安全訪問服務優勢(SASE)和DDoS緩解保護，增強其整體安全態勢，并及時對網絡通信的健壯性檢測。

本文翻譯自：https://www.darkreading.com/attacks-breaches/chaos-malware-resurfaces-go-based-ddos-cryptomining-threat如若轉載，請注明原文地址。