Mã độc Chaos được viết bằng ngôn ngữ lập trình Go có khả năng thiết lập môi trường máy chủ, chạy các lệnh shell từ xa, tải các môđun bổ sung, tự động lây lan thông qua việc đánh cắp và brute-force khóa cá nhân SSH, cũng như khởi chạy các cuộc tấn công DDoS. Phần lớn các bot nằm ở Châu Âu, cụ thể là Ý, một số ở Trung Quốc và khu vực Bắc Mỹ.
.png)
Khu vực mã độc Chaos hoạt động trong thời gian từ giữa tháng 6 đến tháng 7/2022
Các nhà nghiên cứu Danny Adamitis, Steve Rudd và Stephanie Walkenshaw của Black Lotus Labs đã phát hiện Chaos được viết bằng tiếng Trung và tận dụng cơ sở hạ tầng tại Trung Quốc để ra lệnh và kiểm soát. Mạng botnet này tham gia vào một danh sách các mã độc được thiết kế để thiết lập sự bền bỉ trong thời gian dài và có khả năng được sử dụng cho các mục đích bất chính, chẳng hạn như tấn công DDoS và khai thác tiền điện tử.
Botnet Chaos sẽ khai thác các lỗ hổng đã biết nhưng chưa được vá trong các thiết bị tường lửa để chiếm quyền truy cập ban đầu trong mạng, sau đó tiến hành do thám và bắt đầu xâm nhập vào các máy ngang hàng trong hệ thống mạng bị xâm nhập. Hơn nữa, Chaos có tính linh hoạt mà một số mã độc tương tự không có, cho phép chúng hoạt động trên nhiều loại kiến trúc tập lệnh từ ARM, Intel (i386), MIPS và PowerPC, cho phép tin tặc mở rộng phạm vi mục tiêu một cách hiệu quả và nhanh chóng gia tăng số lượng.
Trên hết, Chaos còn có khả năng thực hiện tới 70 lệnh khác nhau được gửi từ máy chủ C2, một trong số đó là lệnh để kích hoạt việc khai thác các lỗ hổng được tiết lộ công khai (CVE-2017-17215 và CVE-2022- 30525). Dựa trên việc phân tích khoảng 100 mẫu được phát hiện trong thời gian gần đây, các nhà nghiên cứu đánh giá Chaos là phiên bản tiếp theo của một dòng mã độc dựa trên Go khác có tên là Kaiji - mã độc nhắm mục tiêu vào các phiên bản Docker. Các mối tương quan giữa 2 mã độc này đều bắt nguồn từ sự trùng lặp giữa mã và hàm chức năng, giúp nó có thể chạy các lệnh tùy ý trên thiết bị của nạn nhân.
Sự phát triển của mã độc Chaos
Đầu tháng 9/2022, một máy chủ GitLab đặt tại châu Âu là một trong những nạn nhân của mã độc Chaos. Đồng thời, các nhà nghiên cứu cũng đã xác định được một chuỗi các cuộc tấn công DDoS nhằm vào các trò chơi, dịch vụ tài chính, công nghệ, truyền thông, giải trí, các nhà cung cấp dịch vụ lưu trữ và sàn giao dịch khai thác tiền điện tử. Các phát hiện này được đưa ra đúng 3 tháng sau sự xuất hiện của một trojan truy cập từ xa có tên là ZuoRAT, đã sử dụng các bộ định tuyến SOHO như một phần của chiến dịch nhắm vào các mạng ở khu vực Bắc Mỹ và châu Âu.
Black Lotus Labs cho biết họ đã vô hiệu hóa tất cả các máy chủ C2 của Chaos để chặn chúng gửi hoặc nhận dữ liệu đến các thiết bị bị nhiễm. Các nhà nghiên cứu khuyến nghị nên theo dõi các trường hợp lây nhiễm của Chaos và các kết nối đến các máy chủ đáng ngờ bằng cách sử dụng các chỉ báo về sự xâm phạm được chia sẻ trên GitHub. Bên cạnh đó, người dùng cũng nên thường xuyên cập nhật các bản vá bảo mật cho hệ thống càng sớm càng tốt và thay đổi mật khẩu mặc định trên tất cả các thiết bị.
Đinh Hồng Đạt
14:00 | 05/10/2022
09:00 | 08/06/2023
14:00 | 30/09/2022
16:00 | 09/11/2022
14:00 | 18/11/2022
09:00 | 13/07/2023
11:00 | 21/03/2023
15:00 | 25/07/2023
13:00 | 22/09/2022
13:00 | 11/07/2023
09:00 | 22/04/2022
10:00 | 10/04/2024
Một nhà cung cấp dịch vụ trung tâm dữ liệu bị tấn công với hình thức và thủ đoạn tương tự như vụ tấn công mã độc tống tiền vào VnDirect, chỉ khác về loại mã độc cụ thể mà tin tặc dùng để mã hóa dữ liệu.
09:00 | 02/04/2024
Một chiến dịch phần mềm độc hại trên quy mô lớn có tên Sign1 đã xâm phạm hơn 39.000 trang web WordPress trong 6 tháng qua, sử dụng cách thức chèn mã JavaScript độc hại để chuyển hướng người dùng đến các trang web lừa đảo.
08:00 | 21/03/2024
Phần mềm độc hại mới trên Linux có tên là GTPDOOR được thiết kế để nhắm mục tiêu vào các mạng viễn thông dựa trên khai thác giao thức đường hầm trên GPRS (GPRS Tunneling Protocol-GTP) để thực thi câu lệnh và điều khiển (C2).
11:00 | 25/01/2024
Chiến dịch phát tán phần mềm độc hại Phemedrone (chiến dịch Phemedrone) thực hiện khai thác lỗ hổng Microsoft Defender SmartScreen (CVE-2023-36025) để bỏ qua cảnh báo bảo mật của Windows khi mở tệp URL.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024
