Peneliti Ngelingake babagan Malware Basis Go Anyar sing Nargetake Sistem Windows lan Linux

Malware basis Go anyar multi-fungsi sing dijuluki Kekacauan wis akeh kanthi cepet ing volume ing sasi pungkasan kanggo njeblug sawetara saka sudhut Windows, Linux, kantor cilik / kantor ngarep (SOHO) router, lan server perusahaan menyang botnet sawijining.

“Fungsi Chaos kalebu kemampuan kanggo ngitung lingkungan host, mbukak perintah cangkang remot, mbukak modul tambahan, nyebarake kanthi otomatis liwat kunci pribadi SSH sing nyolong lan brute-meksa, uga ngluncurake serangan DDoS,” ujare peneliti saka Lumen’s Black Lotus Labs ing a nulis-up bareng karo The Hacker News.

Mayoritas bot kasebut ana ing Eropa, khususe Italia, kanthi infeksi liyane sing dilaporake ing China lan AS, kanthi kolektif makili ” atusan alamat IP unik” sajrone wektu sewulan wiwit pertengahan Juni nganti pertengahan Juli 2022.

Ditulis ing basa Tionghoa lan nggunakake infrastruktur basis China kanggo komando-lan-kontrol, botnet gabung karo dhaptar malware sing dirancang kanggo netepake kegigihan kanggo wektu sing suwe lan bisa uga nyalahake pijakan kanggo tujuan jahat, kayata serangan DDoS lan pertambangan cryptocurrency.

Yen ana apa-apa, pangembangan kasebut uga nuduhake kenaikan dramatis ing aktor ancaman sing pindhah menyang basa pamrograman kaya Go to evade deteksi lan nggawe reverse engineering angel, lan ora kanggo nargetake sawetara platform sekaligus.

Kekacauan (ora bakal bingung karo pembangun ransomware kanthi jeneng sing padha) cocog karo jenenge kanthi ngeksploitasi kerentanan keamanan sing dikenal kanggo entuk akses awal, banjur nyalahake kanggo nindakake pengintaian lan miwiti gerakan lateral ing jaringan sing dikompromi.

Kajaba iku, malware kasebut nduweni fleksibilitas sing ora bisa ditindakake dening malware sing padha, supaya bisa digunakake ing macem-macem arsitektur set instruksi saka ARM, Intel (i386), MIPS, lan PowerPC, kanthi efektif ngidini aktor ancaman nggedhekake ruang lingkup target. lan kanthi cepet nambah volume.

Kajaba iku, Chaos luwih nduweni kemampuan kanggo nglakokake 70 perintah sing beda-beda sing dikirim saka server C2, salah sijine instruksi kanggo micu eksploitasi cacat sing diungkapake sacara umum (CVE-2017-17215 lan CVE-2022- 30525) ditetepake ing file.

Analisis udakara 100 conto sing ditemokake ing alam bébas tanggal bukti paling awal saka aktivitas botnet nganti April 2022. Malware wiwit diamati ora mung nargetake server perusahaan lan organisasi gedhe nanging uga piranti sing ora dipantau kanthi rutin, kayata router SOHO lan FreeBSD OS.

CyberSecurity

Chaos uga diyakini minangka evolusi malware DDoS berbasis Go liyane sing jenenge Kaiji sing sadurunge nargetake conto Docker sing salah. Korelasi, saben Black Lotus Labs, asale saka kode lan fungsi sing tumpang tindih, sing dianggep minangka modul cangkang mbalikke sing ngidini kanggo mbukak printah sewenang-wenang ing piranti sing kena infeksi.

Server GitLab sing ana ing Eropa minangka salah sawijining korban botnet Chaos ing minggu pisanan September, perusahaan kasebut ujar, nambahake ngidentifikasi serangan DDoS sing ditujokake kanggo entitas sing kalebu game, layanan finansial, lan teknologi, media lan hiburan, lan panyedhiya hosting. Uga ditargetake yaiku ijol-ijolan crypto mining.

Panemuan kasebut teka persis telung sasi sawise perusahaan cybersecurity mbukak trojan akses remot anyar sing diarani ZuoRAT sing wis nyebutake router SOHO minangka bagean saka kampanye canggih sing diarahake marang jaringan Amerika Utara lan Eropa.

“Kita ndeleng malware kompleks sing ukurane mung papat sasi mung rong wulan, lan posisine apik kanggo terus nyepetake,” ujare Mark Dehus, direktur intelijen ancaman kanggo Lumen Black Lotus Labs. “Kekacauan nyebabake ancaman kanggo macem-macem piranti lan host konsumen lan perusahaan.”

.

Leave a Comment

Your email address will not be published. Required fields are marked *