Kaos adı verilen hızla genişleyen bir botnet, Windows ve Linux cihazlarını kriptominasyon ve DDOS saldırılarını başlatmak için kullanmak için hedefliyor ve enfekte ediyor.
Bu GO tabanlı kötü amaçlı yazılım, X86, X86-64, AMD64, MIPS, MIPS64, ARMV5-Armv8, Aarch64 ve PowerPC dahil olmak üzere çeşitli mimarileri küçük ofis/ev ofis yönlendiricilerinden ve girişim sunucularından çok çeşitli cihazlar tarafından kullanılabilir. .
Çoğunlukla çeşitli güvenlik açıklarına ve SSH kaba zorlamaya karşı açılmamış cihazlara saldırarak yayılmasına rağmen, Chaos daha fazla cihazı kaçırmak için çalıntı SSH anahtarlarını da kullanacaktır.
Ayrıca, saldırganların daha fazla sömürü için herhangi bir zamanda yeniden bağlanmasını sağlayacak bir ters kabuk oluşturarak cihazları kaçırdı.
Wild'da keşfedilen yaklaşık 100 örneği analiz ederken, güvenlik araştırmacıları Danny Adamitis, Steve Rudd ve Stephanie Walkenshaw Lumen'in Black Lotus laboratuvarlarında Kaos'un Çince yazıldığını ve Çin tabanlı komuta ve kontrol (C2) altyapısını kullandığını buldu.
Ayrıca BotNet'in geniş bir endüstriyi hedeflediğini ve Nisan ayında ilk kez tespit edildiğinden beri katlanarak genişlediğini buldular.
"Lümen küresel ağ görünürlüğünü kullanarak, Black Lotus Labs, bir GitLab sunucusunun başarılı bir şekilde uzlaşması ve oyun, finansal hizmetler ve teknoloji ve medya ve eğlence endüstrilerini hedefleyen son DDOS saldırılarının bir kısmı da dahil olmak üzere birkaç farklı kaos kümesinin C2'lerini ve hedeflerini numaralandırdı. -Hizmet olarak DDOS sağlayıcıları ve bir kripto para birimi değişimi, "dedi araştırmacılar.
"Bugün Botnet altyapısı önde gelen DDOS kötü amaçlı yazılım ailelerinden nispeten daha küçük olsa da, kaos son birkaç ay içinde hızlı bir büyüme gösterdi."
Botnet bir cihazı başarıyla ele geçirdikten sonra, kalıcılık oluşturacak ve C2 sunucusuna ulaşacak, bu da kötü amaçlı yazılımların daha fazla yayılmasını, kripto para birimi için madenciliğe başlamasını veya bir DDOS saldırısı başlatmasını isteyen evreleme komutlarını geri gönderecektir.
Black Lotus Labs araştırmacıları, birkaç gün boyunca düzinelerce komut aldığı bazı botların görüldüğünü ekledi (bazı durumlarda 70'den fazla).
Botnet Avrupa hedeflerine odaklanıyor, ancak botlar neredeyse her yere yayılıyor, Amerika ve Asya Pasifik'teki sıcak noktalar. Tek istisna, şimdiye kadar hiçbir kaos botunun tespit edilmediği Avustralya ve Yeni Zelanda'dır.
Kaos, kriptominasyon, DDOS saldırıları başlatma ve enfekte olmuş cihazlarda ters kabuklar kurabilen bir kötü amaçlı yazılım olan Kaiji olarak bilinen başka bir botnetten yapı taşları ve yetenekleri kullanıyor gibi görünüyor.
"Bu rapor için analiz ettiğimiz 100'den fazla örnek içindeki fonksiyonları analiz ettiğimize dayanarak, kaosun kaiji botnet'in bir sonraki yinelemesi olduğunu değerlendiriyoruz."
"Kaiji başlangıçta 2020'de keşfedildi ve Linux merkezli AMD ve i386 sunucularını, yeni botları enfekte etmek ve daha sonra DDOS saldırılarını piyasaya sürmeye zorlayarak hedefledi."
Black Lotus Labs, enfekte cihazlardan veri göndermelerini veya almalarını engellemek için Lumen'in küresel omurgasındaki tüm Chaos C2 sunucularını null oluşturduğunu söylüyor.
Ağ savunucularına, GitHub'da paylaşılan uzlaşma göstergelerini kullanarak kaos enfeksiyonlarını ve şüpheli sunuculara bağlantıları izlemeleri ve sistemlerini kötü amaçlı yazılımların hedeflemeye başlayabileceği yeni açıklanan güvenlik açıklarına karşı yamalı tutmaları önerilir.
Uzak çalışanlar ve yönlendirici sahipleri, mümkün olan en kısa sürede güvenlik güncellemeleri ve yamalar yüklemeli ve tüm cihazlarına varsayılan şifreleri değiştirmelidir.
"GO tabanlı kötü amaçlı yazılımlara geçiş son birkaç yıldır devam ederken, enfekte olmak için tasarlandığı çok çeşitli mimariler ve işletim sistemleri açısından kaosun genişliğini gösteren az sayıda suş var."
"Sadece işletme ve büyük kuruluşları hedeflemekle kalmıyor, aynı zamanda Soho yönlendiricileri ve FreeBSD OS gibi bir kurumsal güvenlik modelinin bir parçası olarak rutin olarak izlenmeyen cihazlar ve sistemler.
Diyerek şöyle devam etti: "Ve selefinden önemli bir evrim ile Chaos, vahşi doğada ilk belgelenmiş kanıtlardan bu yana hızlı bir büyüme sağlıyor."
Yeni NullMixer Droper, PC'nizi bir düzine kötü amaçlı yazılım ailesiyle bulaşır
Imperva, uzun ömürlü, 25,3 milyar isteği DDOS saldırısı hafifletti
Botnet saldırıları nasıl çalışır ve onlara karşı nasıl savunulur
Emotet botnet artık kuantum ve blackcat fidye yazılımını itiyor
CISA, ajanslara stuxnet saldırılarında kullanılan güvenlik açığını yamaya sipariş eder
Kaynak: Bleeping Computer