Cybersecurity-onderzoekers hebben details bekendgemaakt van een nieuwe op Rust gebaseerde achterdeur genaamd ChaosBot waarmee operators verkenningen kunnen uitvoeren en willekeurige opdrachten kunnen uitvoeren op besmette hosts.
“Dreigingsactoren maakten gebruik van gecompromitteerde inloggegevens die waren gekoppeld aan zowel Cisco VPN als een overbevoorrecht Active Directory-account met de naam ‘serviceaccount'”, zei eSentire in een technisch rapport dat vorige week werd gepubliceerd. “Met behulp van het gecompromitteerde account gebruikten ze WMI om externe opdrachten uit te voeren op systemen in het netwerk, waardoor de inzet en uitvoering van ChaosBot werd vergemakkelijkt.”
Het Canadese cyberbeveiligingsbedrijf zei dat het de malware eind september 2025 voor het eerst ontdekte in de omgeving van een klant uit de financiële dienstverlening.
ChaosBot is opmerkelijk vanwege het misbruik van Discord voor command-and-control (C2). Het ontleent zijn naam aan een Discord-profiel dat wordt onderhouden door de bedreigingsacteur erachter, die online de bijnaam “chaos_00019” draagt en verantwoordelijk is voor het geven van opdrachten op afstand aan de geïnfecteerde apparaten. Een tweede Discord-gebruikersaccount dat is gekoppeld aan C2-bewerkingen is lovebb0024.
Als alternatief is ook waargenomen dat de malware gebruik maakt van phishing-berichten die een kwaadaardig Windows-snelkoppelingsbestand (LNK) als distributievector bevatten. Mocht de ontvanger van het bericht het LNK-bestand openen, dan wordt een PowerShell-opdracht uitgevoerd om ChaosBot te downloaden en uit te voeren, terwijl een lok-PDF die zich voordoet als legitieme correspondentie van de State Bank of Vietnam wordt weergegeven als een afleidingsmechanisme.
De payload is een kwaadaardige DLL (“msedge_elf.dll”) die wordt sideload met behulp van het binaire Microsoft Edge-bestand genaamd “identity_helper.exe”, waarna het systeemverkenning uitvoert en een fast reverse proxy (FRP) downloadt om een reverse proxy in het netwerk te openen en blijvende toegang tot het aangetaste netwerk te behouden.
Er is ook gebleken dat de bedreigingsactoren de malware gebruiken om tevergeefs een Visual Studio Code Tunnel-service te configureren die als een extra achterdeur fungeert om functies voor het uitvoeren van opdrachten mogelijk te maken. De primaire functie van de malware is echter om te communiceren met een Discord-kanaal dat door de operator is aangemaakt met de computernaam van het slachtoffer om verdere instructies te ontvangen.
Enkele van de ondersteunde opdrachten worden hieronder vermeld:
- shell, om shell-opdrachten uit te voeren via PowerShell
- scr, om schermafbeeldingen te maken
- downloaden, om bestanden naar het slachtofferapparaat te downloaden
- uploaden, om een bestand naar het Discord-kanaal te uploaden
“Nieuwe varianten van ChaosBot maken gebruik van ontwijkingstechnieken om ETW (Event Tracing for Windows) en virtuele machines te omzeilen”, aldus eSentire.
“De eerste techniek omvat het patchen van de eerste paar instructies van ntdll!EtwEventWrite (xor eax, eax -> ret). De tweede techniek controleert de MAC-adressen van het systeem met bekende Virtual Machine MAC-adresvoorvoegsels voor VMware en VirtualBox. Als er een match wordt gevonden, wordt de malware afgesloten.”
Chaos Ransomware krijgt destructieve functies en functies voor het kapen van klemborden
De onthulling komt dat Fortinet FortiGuard Labs een nieuwe ransomwarevariant van Chaos heeft beschreven, geschreven in C++, die nieuwe destructieve mogelijkheden introduceert om grote bestanden onherroepelijk te verwijderen in plaats van ze te versleutelen en de inhoud van het klembord te manipuleren door Bitcoin-adressen uit te wisselen met een door de aanvaller bestuurde portemonnee om cryptocurrency-overdrachten om te leiden.
“Deze dubbele strategie van destructieve encryptie en geheime financiële diefstal onderstreept de transitie van Chaos naar een agressievere en veelzijdige dreiging, ontworpen om het financiële gewin te maximaliseren”, aldus het bedrijf.
Door het gebruik van destructieve afpersingstactieken en het kapen van klemborden voor diefstal van cryptocurrency, willen de aanvallers de Chaos-C++-ransomware positioneren als een krachtig hulpmiddel dat niet alleen bestanden kan versleutelen, maar ook de inhoud van elk bestand groter dan 1,3 GB kan verwijderen en financiële fraude kan faciliteren.
De Chaos-C++ ransomware downloader doet zich voor als valse hulpprogramma’s zoals System Optimizer v2.1 om gebruikers te misleiden om deze te installeren. Het is de moeite waard hier te vermelden dat eerdere versies van de Chaos-ransomware, zoals Lucky_Gh0$t, werden verspreid onder het mom van OpenAI ChatGPT en InVideo AI.
Eenmaal gelanceerd, controleert de malware op de aanwezigheid van een bestand met de naam “%APPDATA%READ_IT.txt”, wat aangeeft dat de ransomware al op de machine is uitgevoerd. Als het bestand bestaat, gaat het naar een zogenaamde monitoringmodus om het systeemklembord in de gaten te houden.
In het geval dat het bestand niet aanwezig is, controleert Chaos-C++ of het met beheerdersrechten draait, en als dat het geval is, gaat het verder met het uitvoeren van een reeks opdrachten om systeemherstel te verhinderen, en start vervolgens het versleutelingsproces om bestanden die kleiner zijn dan 50 MB volledig te versleutelen, terwijl bestanden met een bestandsgrootte tussen 50 MB en 1,3 GB worden overgeslagen, vermoedelijk om efficiëntieredenen.
“In plaats van uitsluitend te vertrouwen op volledige bestandsversleuteling, maakt Chaos-C++ gebruik van een combinatie van methoden, waaronder symmetrische of asymmetrische versleuteling en een fallback XOR-routine”, aldus Fortinet. “De veelzijdige downloader garandeert ook een succesvolle uitvoering. Samen maken deze benaderingen de uitvoering van ransomware robuuster en moeilijker te verstoren.”
