Chaos RAT 恶意软件通过虚假网络工具下载攻击 Windows 和 Linux
威胁猎手正在关注一种名为Chaos RAT的远程访问木马 (RAT) 的新变种,该变种最近被用于针对Windows 和Linux 系统的攻击。根据安克诺斯公司的调查结果,该恶意软件可能是通过诱骗受害者下载适用于 Linux 环境的网络故障排除实用程序来分发的。
威胁猎手正在关注一种名为Chaos RAT的远程访问木马 (RAT) 的新变种,该变种最近被用于针对Windows 和Linux 系统的攻击。
根据安克诺斯公司的调查结果,该恶意软件可能是通过诱骗受害者下载适用于 Linux 环境的网络故障排除实用程序来分发的。
安全研究人员Santiago Pontiroli、Gabor Molnar 和Kirill Antonenko在一份报告中表示: “Chaos RAT 是一款用Golang 编写的开源RAT,为Windows 和Linux 系统提供跨平台支持。受到Cobalt Strike 和Sliver 等流行框架的启发,Chaos RAT提供了一个管理面板,用户可以在其中构建有效载荷、建立会话并控制受感染的机器。”
虽然“远程管理工具”的开发工作早在2017 年就开始了,但直到2022 年 12 月才引起人们的注意,当时它被用于一场恶意活动,针对托管在 Linux 系统上的面向公众的Web应用程序,并使用XMRig 加密货币矿工。
安装后,该恶意软件会连接到外部服务器,并等待允许其启动反向shell、上传/下载/删除文件、枚举文件和目录、截取屏幕截图、收集系统信息、锁定/重启/关闭计算机以及打开任意URL的命令。Chaos RAT的最新版本为5.0.3,发布于2024年5月31日。
安克诺斯公司表示,该恶意软件的Linux变种已被检测到,通常与加密货币挖矿活动有关。该公司观察到的攻击链显示,Chaos RAT通过包含恶意链接或附件的网络钓鱼电子邮件分发给受害者。
这些工件旨在删除恶意脚本,该脚本可以修改任务计划程序“/etc/crontab”以定期获取恶意软件,以此作为设置持久性的方式。
研究人员表示:“早期的活动使用这种技术分别传播加密货币矿工和Chaos RAT,这表明 Chaos 主要用于对受感染设备进行侦察和信息收集。”
对2025 年1 月从印度上传到VirusTotal 的最新样本“NetworkAnalyzer.tar.gz”的分析表明,用户可能被欺骗下载该恶意软件,因为它伪装成 Linux 环境的网络故障排除实用程序。
此外,允许用户构建有效载荷和管理受感染设备的管理面板被发现容易受到命令注入漏洞(CVE-2024-30850,CVSS评分:8.8)的攻击,该漏洞可能与跨站脚本漏洞(CVE-2024-31839,CVSS评分:4.8)结合使用,从而以提升的权限在服务器上执行任意代码。截至2024年5月,Chaos RAT的维护人员已修复这两个漏洞。
虽然目前尚不清楚在现实世界的攻击中使用Chaos RAT 的幕后黑手是谁,但这一发展再次说明了威胁行为者如何继续利用开源工具为自己谋利并混淆归因工作。
研究人员表示:“最初只是开发人员的工具,很快就会成为威胁行为者的首选工具。使用公开的恶意软件有助于APT 组织融入日常网络犯罪的喧嚣之中。开源恶意软件提供了一个‘足够好’的工具包,可以快速定制和部署。当多个行为者使用相同的开源恶意软件时,就会混淆溯源。”
此次披露恰逢一场新活动的出现,该活动针对桌面版 Trust Wallet 用户,通过欺骗性下载链接、网络钓鱼电子邮件或捆绑软件分发假冒版本,目的是获取浏览器凭证、从桌面钱包和浏
览器扩展中提取数据、执行命令并充当剪辑恶意软件。
Point Wild 研究员Kedar S Pandit在本周发布的一份报告中表示: “一旦安装,该恶意软件就可以扫描钱包文件、拦截剪贴板数据或监视浏览器会话以捕获种子短语或私钥。”
根据安克诺斯公司的调查结果,该恶意软件可能是通过诱骗受害者下载适用于 Linux 环境的网络故障排除实用程序来分发的。
安全研究人员Santiago Pontiroli、Gabor Molnar 和Kirill Antonenko在一份报告中表示: “Chaos RAT 是一款用Golang 编写的开源RAT,为Windows 和Linux 系统提供跨平台支持。受到Cobalt Strike 和Sliver 等流行框架的启发,Chaos RAT提供了一个管理面板,用户可以在其中构建有效载荷、建立会话并控制受感染的机器。”
虽然“远程管理工具”的开发工作早在2017 年就开始了,但直到2022 年 12 月才引起人们的注意,当时它被用于一场恶意活动,针对托管在 Linux 系统上的面向公众的Web应用程序,并使用XMRig 加密货币矿工。
安装后,该恶意软件会连接到外部服务器,并等待允许其启动反向shell、上传/下载/删除文件、枚举文件和目录、截取屏幕截图、收集系统信息、锁定/重启/关闭计算机以及打开任意URL的命令。Chaos RAT的最新版本为5.0.3,发布于2024年5月31日。
安克诺斯公司表示,该恶意软件的Linux变种已被检测到,通常与加密货币挖矿活动有关。该公司观察到的攻击链显示,Chaos RAT通过包含恶意链接或附件的网络钓鱼电子邮件分发给受害者。
这些工件旨在删除恶意脚本,该脚本可以修改任务计划程序“/etc/crontab”以定期获取恶意软件,以此作为设置持久性的方式。
研究人员表示:“早期的活动使用这种技术分别传播加密货币矿工和Chaos RAT,这表明 Chaos 主要用于对受感染设备进行侦察和信息收集。”
对2025 年1 月从印度上传到VirusTotal 的最新样本“NetworkAnalyzer.tar.gz”的分析表明,用户可能被欺骗下载该恶意软件,因为它伪装成 Linux 环境的网络故障排除实用程序。
此外,允许用户构建有效载荷和管理受感染设备的管理面板被发现容易受到命令注入漏洞(CVE-2024-30850,CVSS评分:8.8)的攻击,该漏洞可能与跨站脚本漏洞(CVE-2024-31839,CVSS评分:4.8)结合使用,从而以提升的权限在服务器上执行任意代码。截至2024年5月,Chaos RAT的维护人员已修复这两个漏洞。
虽然目前尚不清楚在现实世界的攻击中使用Chaos RAT 的幕后黑手是谁,但这一发展再次说明了威胁行为者如何继续利用开源工具为自己谋利并混淆归因工作。
研究人员表示:“最初只是开发人员的工具,很快就会成为威胁行为者的首选工具。使用公开的恶意软件有助于APT 组织融入日常网络犯罪的喧嚣之中。开源恶意软件提供了一个‘足够好’的工具包,可以快速定制和部署。当多个行为者使用相同的开源恶意软件时,就会混淆溯源。”
此次披露恰逢一场新活动的出现,该活动针对桌面版 Trust Wallet 用户,通过欺骗性下载链接、网络钓鱼电子邮件或捆绑软件分发假冒版本,目的是获取浏览器凭证、从桌面钱包和浏
览器扩展中提取数据、执行命令并充当剪辑恶意软件。
Point Wild 研究员Kedar S Pandit在本周发布的一份报告中表示: “一旦安装,该恶意软件就可以扫描钱包文件、拦截剪贴板数据或监视浏览器会话以捕获种子短语或私钥。”
关于作者
评论0次