Rozpowszechnienie szkodliwego oprogramowania napisanego w języku programowania Go znacząco wzrosło w ostatnich latach. Jest to spowodowane elastycznością Golang, niskim wskaźnikiem wykrywalności programów antywirusowych, a ponadto trudnościami w zastosowaniu inżynierii wstecznej w jego przypadku. Na temat języka Go pisaliśmy jakiś czas temu więcej w artykule na temat malware ukrytego w zdjęciach z Teleskopu Jamesa Webba.
Badacze z Black Lotus Labs odkryli niedawno kolejne wielofunkcyjne malware napisane w Golang. Czym jest Chaos? Przeczytaj w poniższym artykule.
Malware Chaos
Chaos – bo tak badacze nazwali nowoodkryte oprogramowanie – budzi coraz większy niepokój wśród badaczy w Europie. Malware wyrządza szkody w systemach Windows i Linux, celem użycia ich do wydobywania kryptowalut i przeprowadzania ataków DDoS. Szkodliwe oprogramowanie może infekować różne architektury stosowane w urządzeniach konsumenckich, małych routerach, ale i serwerach korporacyjnych. Chaos rozprzestrzenia się głównie poprzez atakowanie luk w zabezpieczeniach, jednak może również używać skradzionych kluczy SSH do przejęcia większej liczby urządzeń.
W trakcie badań analitycy z Black Lotus Labs odkryli, że malware zostało napisane w języku chińskim, oraz wykorzystuje chińską infrastrukturę dowodzenia i kontroli (C2). Tylko na przełomie czerwca i lipca 2022 r. badacze odkryli setki unikalnych adresów IP należących do botów Chaos. Większość z nich występuje w Europie. Oprócz tego boty wykryto w obu Amerykach, a także w regionie Azji i Pacyfiku.
Botnet rośnie w siłę
Badaczom z Black Lotus Labs udało się namierzyć cele kilku różnych klastrów Chaos. Należy do nich włamanie się do serwera GitLab i seria niedawnych ataków DDoS wymierzonych w branżę gier, usługi finansowe i technologię oraz branżę medialną i rozrywkową. Chociaż infrastruktura Chaosu jest stosunkowo mniejsza, niż niektóre z wiodących botnetów, Chaos wykazał niepokojąco szybki wzrost w ciągu ostatnich kilku miesięcy. W ciągu zaledwie dwóch miesięcy liczba infekcji malware zwiększyła się czterokrotnie.
Gdy botnet zdoła pomyślnie przejąć zainfekowane urządzenie i nawiązać połączenie z serwerem C2, uruchamia jedną z funkcjonalności malware, by rozprzestrzeniać się dalej, rozpocząć wydobywanie kryptowaluty lub przeprowadzić atak DDoS. Analitycy zwracają uwagę, że niektóre boty otrzymywały nawet ponad 70 poleceń w ciągu kilku dni.
Chaos spadkobiercą Kaiji
W trakcie analiz wyszło na jaw, że Chaos zdaje się wykorzystywać pewne elementy i możliwości innego botnetu, znanego jako Kaiji. Oba mają możliwość inicjowania operacji wydobycia kryptowalut, przeprowadzania ataków DDoS oraz tworzenia reverse shell na zainfekowanych urządzeniach.
Cyberprzestępcy ukierunkowują ataki nie tylko na rozległe sieci firmowe, ale także na mniej monitorowane urządzenia, jak routery SOHO. Z tego powodu użytkownicy domowi, czy posiadacze niewielkich sieci powinni zawsze instalować wszelkie aktualizacje i poprawki zabezpieczeń. Ważne również, by bezwzględnie zmieniać domyślne hasła na wszystkich swoich urządzeniach. W przypadku większych sieci firmowych istotne jest, by monitorować urządzenia pod kątem luk w zabezpieczeniach, które mogłyby zostać zaatakowane.
Pełny raport Black Lotus Labs dostępny tutaj.
Redaktorka Net Complex Blog
