Yeni, çok işlevli Go tabanlı kötü amaçlı yazılım Kaos Son aylarda çok çeşitli Windows, Linux, küçük ofis/ev ofis (SOHO) yönlendiricileri ve kurumsal sunucuları kendi botnet’ine dahil etmek için hacim olarak hızla büyüyor.
Lumen’s Black Lotus Labs’den araştırmacılar, “Kaos işlevselliği, ana bilgisayar ortamını numaralandırma, uzak kabuk komutlarını çalıştırma, ek modüller yükleme, SSH özel anahtarlarını çalma ve kaba zorlama yoluyla otomatik olarak yayılma ve ayrıca DDoS saldırılarını başlatma yeteneğini içerir.” söz konusu The Hacker News ile paylaşılan bir yazıda.
Botların çoğu Avrupa’da, özellikle İtalya’da bulunuyor ve Çin ve ABD’de bildirilen diğer enfeksiyonlarla birlikte, Haziran ortasından Temmuz ortasına kadar bir aylık bir süre boyunca toplu olarak “yüzlerce benzersiz IP adresini” temsil ediyor.
Çince yazılmış ve komuta ve kontrol için Çin merkezli altyapıdan yararlanan botnet, uzun süre kalıcılık sağlamak ve muhtemelen DDoS saldırıları ve kripto para madenciliği gibi hain amaçlarla bu dayanağı kötüye kullanmak üzere tasarlanmış uzun bir kötü amaçlı yazılım listesine katılıyor.
Gelişme, aynı anda birden fazla platformu hedeflemekten bahsetmiyorum bile, tespitten kaçınmak ve tersine mühendisliği zorlaştırmak için Go gibi programlama dillerine geçiş yapan tehdit aktörlerinde çarpıcı bir artışa işaret ediyor.
Kaos (aynı adı taşıyan fidye yazılımı oluşturucu ile karıştırılmamalıdır), ilk erişim elde etmek için bilinen güvenlik açıklarından yararlanarak, ardından keşif yapmak ve güvenliği ihlal edilmiş ağda yanal hareket başlatmak için bunu kötüye kullanarak adının hakkını verir.
Dahası, kötü amaçlı yazılım, benzer kötü amaçlı yazılımların sahip olmadığı çok yönlülüğe sahiptir ve ARM, Intel (i386), MIPS ve PowerPC’den çok çeşitli komut seti mimarilerinde çalışmasına ve tehdit aktörünün hedeflerinin kapsamını genişletmesine etkin bir şekilde izin verir. ve hızla hacim olarak tahakkuk eder.
Bunun da ötesinde, Kaos, C2 sunucusundan gönderilen 70’e kadar farklı komutu yürütme yeteneğine sahiptir; bunlardan biri, kamuya açıklanmış kusurların istismarını tetiklemek için bir talimattır (CVE-2017-17215 ve CVE-2022-30525) bir dosyada tanımlanmıştır.
Kaos’un ayrıca Go-tabanlı başka bir DDoS kötü amaçlı yazılımının evrimi olduğuna inanılıyor. Kaiji daha önce yanlış yapılandırılmış Docker örneklerini hedef alan. Black Lotus Labs’e göre korelasyonlar, 100’den fazla örneğin analizine dayanan örtüşen kod ve işlevlerden kaynaklanmaktadır.
Avrupa’da bulunan bir GitLab sunucusunun Eylül ayının ilk haftalarında Kaos botnetinin kurbanlarından biri olduğunu belirten şirket, oyun, finansal hizmetler ve teknoloji, medya ve eğlenceyi kapsayan varlıkları hedefleyen bir dizi DDoS saldırısı tespit ettiğini de sözlerine ekledi. ve barındırma sağlayıcıları. Ayrıca hedeflenen bir kripto madenciliği borsasıydı.
Bulgular, siber güvenlik şirketinin, Kuzey Amerika ve Avrupa ağlarına yönelik karmaşık bir kampanyanın parçası olarak SOHO yönlendiricilerini seçen ZuoRAT adlı yeni bir uzaktan erişim truva atını ifşa etmesinden tam üç ay sonra geldi.
Lumen Black Lotus Labs tehdit istihbaratı direktörü Mark Dehus, “Sadece iki ayda boyutu dört katına çıkan karmaşık bir kötü amaçlı yazılım görüyoruz ve hızlanmaya devam etmek için iyi bir konumda” dedi. “Kaos, çeşitli tüketici ve kurumsal cihazlar ve ana bilgisayarlar için bir tehdit oluşturuyor.”
