Переоделся в анализатор, проник в систему и остался там жить — Chaos RAT умеет удивлять
NewsMakerОн не шумит, не ломает, не требует выкупа — просто тихо делает своё дело.
На фоне растущей активности киберпреступников внимание специалистов привлекла новая версия удалённого трояна Chaos RAT, способная заражать как Windows, так и Linux-системы. По информации компании Acronis, вредоносная программа распространяется под видом легитимного инструмента для диагностики сетей в Linux-средах — потенциальные жертвы загружают файл с именем «NetworkAnalyzer.tar.gz», не подозревая об опасности.
Chaos RAT представляет собой кроссплатформенное средство удалённого доступа, написанное на языке Go и вдохновлённое такими инструментами, как Cobalt Strike и Sliver. Вредонос оснащён веб-панелью для администрирования, где злоумышленники могут создавать полезные нагрузки, управлять заражёнными машинами, запускать сессии и выполнять произвольные команды. Среди доступных функций — обратные шеллы, загрузка и удаление файлов, скриншоты, сбор информации о системе, блокировка и перезагрузка устройств, а также открытие произвольных URL-адресов.
Разработка Chaos RAT началась ещё в 2017 году, однако внимание он привлёк лишь в декабре 2022 года — тогда его впервые применили в атаках на публичные веб-приложения на Linux, устанавливая криптомайнер XMRig. Актуальная версия 5.0.3 вышла 31 мая 2024 года и активно используется в реальных атаках.
Эксперты Acronis обнаружили случаи заражения Linux-систем, в которых Chaos RAT доставлялся через фишинговые письма с вредоносными вложениями или ссылками. В некоторых случаях зловредный скрипт автоматически модифицировал планировщик задач в файле «/etc/crontab», обеспечивая таким образом сохранение доступа и повторную загрузку трояна.
Ранее в подобных атаках наблюдалась отдельная установка майнеров и Chaos RAT, что позволяет сделать вывод — изначально троян использовался преимущественно для разведки и сбора информации, а не непосредственного извлечения прибыли. Однако использование маскировки под сетевые инструменты указывает на желание атакующих повысить доверие к загрузке и обеспечить проникновение без подозрений.
Примечательно, что панель управления Chaos RAT содержала серьёзную уязвимость: уязвимость командной инъекции CVE-2024-30850 с баллом 8.8 по CVSS и XSS-уязвимость CVE-2024-31839 с оценкой 4.8. Их сочетание позволяло атакующему выполнять произвольный код на сервере с повышенными привилегиями. Обе уязвимости были устранены автором проекта ещё в мае 2024 года.
Хотя точная принадлежность атак до сих пор не установлена, в отчёте подчёркивается общая тенденция: открытые инструменты становятся удобной базой для атак, что затрудняет атрибуцию. Когда один и тот же исходный код используется множеством групп, определить, кто именно стоит за атакой, становится практически невозможно. Open source зловреды предоставляют «достаточно хорошие» решения, которые легко модифицировать и внедрять без необходимости разрабатывать всё с нуля.
Параллельно специалисты Point Wild зафиксировали похожую волну атак — на пользователей Trust Wallet. Злоумышленники распространяют поддельные версии десктопного приложения через фишинг, поддельные сайты и пакеты с другим ПО. Основная цель — кража учётных данных из браузеров, перехват данных кошельков, сбор seed-фраз и приватных ключей. Malware в таких кампаниях может работать как криптоклиппер, заменяя данные в буфере обмена, или анализировать содержимое браузера в реальном времени.
На фоне растущей активности киберпреступников внимание специалистов привлекла новая версия удалённого трояна Chaos RAT, способная заражать как Windows, так и Linux-системы. По информации компании Acronis, вредоносная программа распространяется под видом легитимного инструмента для диагностики сетей в Linux-средах — потенциальные жертвы загружают файл с именем «NetworkAnalyzer.tar.gz», не подозревая об опасности.
Chaos RAT представляет собой кроссплатформенное средство удалённого доступа, написанное на языке Go и вдохновлённое такими инструментами, как Cobalt Strike и Sliver. Вредонос оснащён веб-панелью для администрирования, где злоумышленники могут создавать полезные нагрузки, управлять заражёнными машинами, запускать сессии и выполнять произвольные команды. Среди доступных функций — обратные шеллы, загрузка и удаление файлов, скриншоты, сбор информации о системе, блокировка и перезагрузка устройств, а также открытие произвольных URL-адресов.
Разработка Chaos RAT началась ещё в 2017 году, однако внимание он привлёк лишь в декабре 2022 года — тогда его впервые применили в атаках на публичные веб-приложения на Linux, устанавливая криптомайнер XMRig. Актуальная версия 5.0.3 вышла 31 мая 2024 года и активно используется в реальных атаках.
Эксперты Acronis обнаружили случаи заражения Linux-систем, в которых Chaos RAT доставлялся через фишинговые письма с вредоносными вложениями или ссылками. В некоторых случаях зловредный скрипт автоматически модифицировал планировщик задач в файле «/etc/crontab», обеспечивая таким образом сохранение доступа и повторную загрузку трояна.
Ранее в подобных атаках наблюдалась отдельная установка майнеров и Chaos RAT, что позволяет сделать вывод — изначально троян использовался преимущественно для разведки и сбора информации, а не непосредственного извлечения прибыли. Однако использование маскировки под сетевые инструменты указывает на желание атакующих повысить доверие к загрузке и обеспечить проникновение без подозрений.
Примечательно, что панель управления Chaos RAT содержала серьёзную уязвимость: уязвимость командной инъекции CVE-2024-30850 с баллом 8.8 по CVSS и XSS-уязвимость CVE-2024-31839 с оценкой 4.8. Их сочетание позволяло атакующему выполнять произвольный код на сервере с повышенными привилегиями. Обе уязвимости были устранены автором проекта ещё в мае 2024 года.
Хотя точная принадлежность атак до сих пор не установлена, в отчёте подчёркивается общая тенденция: открытые инструменты становятся удобной базой для атак, что затрудняет атрибуцию. Когда один и тот же исходный код используется множеством групп, определить, кто именно стоит за атакой, становится практически невозможно. Open source зловреды предоставляют «достаточно хорошие» решения, которые легко модифицировать и внедрять без необходимости разрабатывать всё с нуля.
Параллельно специалисты Point Wild зафиксировали похожую волну атак — на пользователей Trust Wallet. Злоумышленники распространяют поддельные версии десктопного приложения через фишинг, поддельные сайты и пакеты с другим ПО. Основная цель — кража учётных данных из браузеров, перехват данных кошельков, сбор seed-фраз и приватных ключей. Malware в таких кампаниях может работать как криптоклиппер, заменяя данные в буфере обмена, или анализировать содержимое браузера в реальном времени.