WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Cảnh báo mã độc mới trên Go nhắm mục tiêu tới hệ thống Windows và Linux
Mã độc Chaos dựa trên Go gần đây đang phát triển với số lượng lớn nhắm tới một loạt hệ thống Windows, Linux và các bộ định tuyến cho văn phòng nhỏ, văn phòng gia đình (SOHO), máy chủ doanh nghiệp để thiết lập mạng botnet.
Các nhà nghiên cứu cho biết: " Chaos có khả năng thiết lập môi trường máy chủ, chạy các lệnh shell từ xa, tải các mô-đun bổ sung, tự động lây lan nhờ việc đánh cắp và brute-force khóa cá nhân SSH, cũng như khởi chạy các cuộc tấn công DDoS".
Phần lớn các bot nằm ở Châu Âu, cụ thể là Ý, một số ở Trung Quốc và Mỹ, đại diện cho "hàng trăm địa chỉ IP " trong khoảng từ giữa tháng 6 đến giữa tháng 7 năm 2022.
Sử dụng tiếng Trung và tận dụng cơ sở hạ tầng tại Trung Quốc để ra lệnh và kiểm soát, mạng botnet này có sự tham gia một danh sách các mã độc hoạt động bền bỉ trong thời gian dài và có khả năng được sử dụng cho các mục đích bất chính, chẳng hạn như tấn công DDoS và khai thác tiền điện tử.
Chaos hoạt động đúng như tên gọi khi khai thác các lỗ hổng đã biết để chiếm quyền truy cập ban đầu, sau đó tiến hành do thám và bắt đầu xâm nhập vào các máy ngang hàng trong hệ thống.
Hơn nữa, mã độc này có tính linh hoạt mà một số phần mềm độc hại tương tự không có, cho phép chúng hoạt động trên nhiều loại kiến trúc tập lệnh từ ARM, Intel (i386), MIPS và PowerPC, cho phép hacker mở rộng phạm vi mục tiêu một cách hiệu quả và nhanh chóng gia tăng số lượng.
Trên hết, Chaos còn có khả năng thực hiện tới 70 lệnh khác nhau được gửi từ máy chủ C2, một trong số đó là lệnh để kích hoạt việc khai thác các lỗ hổng được tiết lộ công khai (CVE-2017-17215 và CVE-2022- 30525).
Chaos cũng được cho là một phiên bản khác của mã độc Kaiji, trước đây đã nhắm mục tiêu vào các phiên bản Docker. Các mối tương quan giữa 2 mã độc này đều bắt nguồn từ mã và chức năng chồng chéo dựa trên việc phân tích hơn 100 mẫu.
Trong tuần đầu tháng 9, máy chủ GitLab đặt tại châu Âu là một trong những nạn nhân của mạng botnet Chaos, đồng thời cũng đã xác định được một chuỗi các cuộc tấn công DDoS nhằm vào các trò chơi, dịch vụ tài chính và công nghệ, truyền thông và giải trí, các nhà cung cấp dịch vụ lưu trữ và một sàn giao dịch khai thác tiền điện tử.
Các phát hiện này được đưa ra đúng 3 tháng sau sự xuất hiện của một trojan truy cập từ xa có tên là ZuoRAT, đã sử dụng các bộ định tuyến SOHO như một phần của chiến dịch nhắm vào các mạng ở khu vực Bắc Mỹ và châu Âu.
Các nhà nghiên cứu cho biết: " Chaos có khả năng thiết lập môi trường máy chủ, chạy các lệnh shell từ xa, tải các mô-đun bổ sung, tự động lây lan nhờ việc đánh cắp và brute-force khóa cá nhân SSH, cũng như khởi chạy các cuộc tấn công DDoS".
Phần lớn các bot nằm ở Châu Âu, cụ thể là Ý, một số ở Trung Quốc và Mỹ, đại diện cho "hàng trăm địa chỉ IP " trong khoảng từ giữa tháng 6 đến giữa tháng 7 năm 2022.
Sử dụng tiếng Trung và tận dụng cơ sở hạ tầng tại Trung Quốc để ra lệnh và kiểm soát, mạng botnet này có sự tham gia một danh sách các mã độc hoạt động bền bỉ trong thời gian dài và có khả năng được sử dụng cho các mục đích bất chính, chẳng hạn như tấn công DDoS và khai thác tiền điện tử.
Chaos hoạt động đúng như tên gọi khi khai thác các lỗ hổng đã biết để chiếm quyền truy cập ban đầu, sau đó tiến hành do thám và bắt đầu xâm nhập vào các máy ngang hàng trong hệ thống.
Hơn nữa, mã độc này có tính linh hoạt mà một số phần mềm độc hại tương tự không có, cho phép chúng hoạt động trên nhiều loại kiến trúc tập lệnh từ ARM, Intel (i386), MIPS và PowerPC, cho phép hacker mở rộng phạm vi mục tiêu một cách hiệu quả và nhanh chóng gia tăng số lượng.
Trên hết, Chaos còn có khả năng thực hiện tới 70 lệnh khác nhau được gửi từ máy chủ C2, một trong số đó là lệnh để kích hoạt việc khai thác các lỗ hổng được tiết lộ công khai (CVE-2017-17215 và CVE-2022- 30525).
Chaos cũng được cho là một phiên bản khác của mã độc Kaiji, trước đây đã nhắm mục tiêu vào các phiên bản Docker. Các mối tương quan giữa 2 mã độc này đều bắt nguồn từ mã và chức năng chồng chéo dựa trên việc phân tích hơn 100 mẫu.
Trong tuần đầu tháng 9, máy chủ GitLab đặt tại châu Âu là một trong những nạn nhân của mạng botnet Chaos, đồng thời cũng đã xác định được một chuỗi các cuộc tấn công DDoS nhằm vào các trò chơi, dịch vụ tài chính và công nghệ, truyền thông và giải trí, các nhà cung cấp dịch vụ lưu trữ và một sàn giao dịch khai thác tiền điện tử.
Các phát hiện này được đưa ra đúng 3 tháng sau sự xuất hiện của một trojan truy cập từ xa có tên là ZuoRAT, đã sử dụng các bộ định tuyến SOHO như một phần của chiến dịch nhắm vào các mạng ở khu vực Bắc Mỹ và châu Âu.
Theo: The Hacker News