Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Chaos-Malware zielt auf mehrere Architekturen ab
Obanla Opeyemi
13. Oktober 2022. TuxCare-Expertenteam
Laut Forschern des in Lumen ansässigen Black Lotus Lab zielt eine neue Chaos-Malware auf mehrere Architekturen ab, um DDoS, Kryptowährungs-Miner zu verbreiten und Backdoors zu installieren.
Die Malware ist in der Programmiersprache Go geschrieben, ein wichtiger Grund, warum es für die Entwickler einfach ist, ihre Software auf verschiedene Betriebssysteme zu portieren. Zu den Fähigkeiten der Malware gehören die Bereitstellung von DDoS-Diensten, das Mining von Kryptowährungen und Backdoor-Funktionen.
Laut den Forschern von Lumen handelt es sich bei der Malware um eine Weiterentwicklung der DDoS-Malware Kaiji, die auf Code- und Funktionsüberschneidungen basiert.
Chaos wurde entwickelt, um bekannte Schwachstellen auszunutzen und SSH mit roher Gewalt zu infiltrieren. Sobald die Malware auf einem System ausgeführt wird, bleibt sie bestehen und kommuniziert mit ihren Befehlen und dem Kontrollserver. Der Server antwortet mit einem oder mehreren Staging-Befehlen, die verschiedenen Zwecken dienen, bevor er möglicherweise weitere Befehle oder Module erhält.
Die Kommunikation mit dem C2 erfolgt über einen UDP-Port, der durch die MAC-Adresse des Geräts bestimmt wird. Sobald eine erfolgreiche Verbindung hergestellt ist, sendet der C2 Staging-Befehle, darunter die automatische Weiterleitung, einen neuen Port für den Zugriff auf zusätzliche Dateien auf dem C2-Server, das Spoofing von IP-Adressen auf Linux-Systemen und das Ausnutzen bekannter Sicherheitslücken.
Nach der ersten Kommunikation mit dem C2-Server erhält die Malware sporadisch weitere Befehle. Zu den Befehlen gehören die Ausführung der Ausbreitung durch Ausnutzung vordefinierter Schwachstellen in den Zielgebieten, das Starten von DDoS-Angriffen oder das Initiieren von Krypto-Mining.
Die Malware kann dem Angreifer eine Reverse Shell zur Verfügung stellen, über die er dann weitere Befehle auf den infizierten Systemen ausführen kann.
Chaos-Malware kann DDoS-Angriffe auf ausgewählte Ziele starten und vorgeben, dass diese Angriffe von mehreren Computern ausgehen. Chaos-Malware kann auch Kryptowährungs-Miner absetzen und einen infizierten Computer zum Mining verwenden. Die Malware kann es Angreifern auch ermöglichen, sich auf andere Computer auszubreiten, indem sie verschiedene allgemeine Sicherheitslücken ausnutzt.
Um Unternehmen vor dieser Bedrohung zu schützen, ist es wichtig, dass sie alle Betriebssysteme, Geräte und Software aktualisieren und patchen sowie Sicherheitstools wie Endpoint Detection and Response einsetzen, um die Malware zu erkennen, bevor sie gestartet wird, und Maßnahmen zu ihrer Eindämmung zu ergreifen.
Zu den Quellen für diesen Beitrag gehört ein Artikel in TechRepublic.
