Chaos está diseñado para usarse con una variedad de arquitecturas, incluidas ARM, Intel (i386), MIPS y PowerPC. Está diseñado para Windows, Linux y una variedad de dispositivos de consumo, enrutadores de oficina pequeña/oficina doméstica (SOHO) y servidores empresariales. El malware permite explotar vulnerabilidades conocidas y permite a los atacantes:
• Escanear el sistema de destino para analizarlo en busca de futuros comandos.
• Iniciar la paginación y distribución automática a través de SecureShell (SSH) utilizando claves privadas robadas o de fuerza bruta.
• Lanzar un ataque DDoS e iniciar el cifrado.
Los analistas de Black Lotus Labs señalaron que la prevalencia del malware escrito en GO ha aumentado drásticamente en los últimos años debido a su flexibilidad, baja tasa de detección de antivirus y dificultad en la ingeniería inversa.
El malware Chaos es poderoso porque puede ejecutarse en una variedad de arquitecturas, dispositivos y sistemas de destino (como enrutadores SOHO y sistemas operativos FreeBDS) que no forman parte del modelo de seguridad de una empresa. Algunos son monitoreados regularmente y son robados o forzados usando vulnerabilidades conocidas y distribución de claves SSH.
El malware Chaos se está propagando
A partir de junio, los analistas descubrieron varios grupos de chaos diferentes escritos en chino. Los clústeres aprovecharon la infraestructura de mando y control (C2) en rápida expansión de China en agosto y septiembre. Las infecciones de Chaos bot se concentran principalmente en Europa (Italia, Francia, España, Alemania), Estados Unidos y China.
El atacante comprometió al menos un servidor GitLab y lanzó múltiples ataques DDoS contra organizaciones en las industrias de juegos, servicios financieros y tecnología, medios/entretenimiento, criptomonedas e incluso DDoS como servicio. Los objetivos incluyen organizaciones en Europa, Medio Oriente y África, Asia Pacífico y América del Norte.
«El malware Kaos apunta a vulnerabilidades conocidas», agregó Dehus, «Recomendamos que los administradores de red implementen una gestión de parches estricta y utilicen los IoC (indicadores de compromiso) descritos en nuestro informe para monitorear infecciones o conexiones a infraestructura sospechosa. Los consumidores y los trabajadores remotos deben habilitar las actualizaciones automáticas de software, actualizar regularmente las contraseñas y reiniciar el hardware».
Black Lotus Labs cree que el malware no está relacionado con el generador de ransomware Chaos descubierto en 2021; en cambio, el código y las funciones superpuestas sugieren que es probable que sea una evolución de Kaiji, el malware DDoS descubierto en 2020.
El malware Chaos también es particularmente dañino porque se dirige a dispositivos y sistemas que normalmente no son monitoreados por sistemas de seguridad.
Los IoC’s asociados a esta campaña, pueden ser consultados en el siguiente enlace.
Referencias:
- https://blog.lumen.com/chaos-is-a-go-based-swiss-army-knife-of-malware/
- https://therecord.media/botnet-of-devices-infected-with-chaos-malware-rapidly-growing-across-europe/
- https://tugatech.com.pt/t48792-malware-chaos-agora-infeta-sistemas-windows-e-linux-para-ataques-ddos
- https://www.bleepingcomputer.com/news/security/new-chaos-malware-infects-windows-linux-devices-for-ddos-attacks/
- https://diariopb.com/investigadores-advierten-sobre-nuevo-malware-basado-en-go-dirigido-a-sistemas-windows-y-linux/