Dreigingsjagers vestigen de aandacht op een nieuwe variant van een externe toegang Trojan (rat) genoemd Chaos rat Dat is gebruikt bij recente aanvallen op Windows en Linux -systemen.
Volgens de bevindingen van Acronis kan het malware -artefact zijn gedistribueerd door slachtoffers te misleiden om een nut van een netwerk probleemoplossing voor Linux -omgevingen te downloaden.
“Chaos Rat is een open-source rat geschreven in Golang en biedt platformoverschrijdende ondersteuning voor zowel Windows- als Linux-systemen,” zei beveiligingsonderzoekers Santiago Pontiroli, Gabor Molnar en Kirill Antonenko in een rapport dat werd gedeeld met het hacker-nieuws.
“Geïnspireerd door populaire kaders zoals Cobalt Strike en Sliver, biedt Chaos Rat een administratief panel waar gebruikers payloads kunnen bouwen, sessies kunnen opzetten en gecompromitteerde machines kunnen besturen.”
Hoewel het werk aan de “Remote Administration Tool” al in 2017 begon, trok het geen aandacht tot december 2022, toen het werd gebruikt in een kwaadwillende campagne die zich richtte op openbare webapplicaties die werden gehost op Linux-systemen met de XMRIG Cryptocurrency Miner.
Eenmaal geïnstalleerd, maakt de malware verbinding met een externe server en wacht opdrachten op waarmee hij reverse shells kan starten, bestanden uploaden/downloaden/verwijderen, bestanden en mappen opsommen, screenshots maken, systeeminformatie verzamelen, de vergrendeling/herstart/afsluiten van de machine en het openen van willekeurige URL’s openen. De nieuwste versie van Chaos Rat is 5.0.3, die werd uitgebracht op 31 mei 2024.
Acronis zei dat de Linux -varianten van de malware sindsdien zijn gedetecteerd in het wild, vaak in verband met cryptocurrency -mijnbouwcampagnes. De aanvalsketens van het bedrijf laten zien dat Chaos Rat wordt gedistribueerd onder slachtoffers via phishing -e -mails met kwaadaardige links of bijlagen.
Deze artefacten zijn ontworpen om een kwaadaardig script te laten vallen dat de taakplanner “/etc/crontab” kan aanpassen om de malware periodiek op te halen als een manier om doorzettingsvermogen in te stellen.
“Vroege campagnes gebruikten deze techniek om Cryptocurrency Miners en Chaos Rat afzonderlijk te leveren, wat aangeeft dat chaos voornamelijk werd gebruikt voor verkennings- en informatie -verzameling op gecompromitteerde apparaten,” zeiden de onderzoekers.
Een analyse van een recente steekproef die in januari 2025 vanuit India naar Virustotal is geüpload naar ViRustotal met de naam “NetworkAnalyzer.tar.gz”, heeft de mogelijkheid aangevoerd dat gebruikers worden bedrogen om de malware te downloaden door het op te vangen als een netwerk dat hulpprogramma’s voor Linux -omgevingen voor Linux -omgevingen voor Linux -omgevingen voor Linux -omgevingen wordt opgelost.
Verder is het admin-paneel waarmee gebruikers payloads kunnen bouwen en geïnfecteerde machines kunnen beheren, vatbaar zijn voor een beveiligingslek van commando-injectie (CVE-2024-30850, CVSS-score: 8.8) die kan worden gecombineerd met een cross-site scriptfouten (CVE-2024-31839, CVSS SCORE: 4,8) TOT-arbitrarische code met een verhoogde arbitrarische code met een verhoogde arbitrarische code met een verhoogde arbitrarische code. Beide kwetsbaarheden zijn sindsdien aangepakt door de onderhoud van Chaos Rat vanaf mei 2024.
Hoewel het momenteel niet duidelijk is wie achter het gebruik van chaos rat is bij arbeidsaanvallen, illustreert de ontwikkeling opnieuw hoe dreigingsacteurs open-source tools in hun voordeel blijven bewapenen en de inspanningen voor toeschrijving verwarren.
“Wat begint als het hulpmiddel van een ontwikkelaar kan snel het keuzeinstrument van een dreigingsacteur worden,” zeiden de onderzoekers. “Het gebruik van openbaar beschikbare malware helpt APT-groepen opgaan in het geluid van de dagelijkse cybercriminaliteit. Open-source malware biedt een ‘goed genoeg’ toolkit die snel kan worden aangepast en geïmplementeerd. Wanneer meerdere acteurs dezelfde open-source malware gebruiken, moddert het de wateren van attributie.”
De openbaarmaking valt samen met de opkomst van een nieuwe campagne die zich richt op Trust Wallet-gebruikers op desktop met valse versies die worden gedistribueerd via misleidende downloadlinks, phishing-e-mails of gebundelde software met het doel van het oogsten van browsersreferenties, het extraheren van gegevens uit desktop-wallets en browser-extensies, het uitvoeren van commando’s, en acteren als een clippermalware.
“Eenmaal geïnstalleerd, kan de malware scannen op portefeuillebestanden, clemboardgegevens onderscheppen of browsersessies bewaken om zaadzinnen of privésleutels vast te leggen,” zei Point Wild Researcher Kedar S Pandit in een rapport dat deze week is gepubliceerd.
