Mã độc Chaos được viết bằng ngôn ngữ lập trình Go có khả năng thiết lập môi trường máy chủ, chạy các lệnh shell từ xa, tải các môđun bổ sung, tự động lây lan thông qua việc đánh cắp và brute-force khóa cá nhân SSH, cũng như khởi chạy các cuộc tấn công DDoS. Phần lớn các bot nằm ở Châu Âu, cụ thể là Ý, một số ở Trung Quốc và khu vực Bắc Mỹ.
Khu vực mã độc Chaos hoạt động trong thời gian từ giữa tháng 6 đến tháng 7/2022
Các nhà nghiên cứu Danny Adamitis, Steve Rudd và Stephanie Walkenshaw của Black Lotus Labs đã phát hiện Chaos được viết bằng tiếng Trung và tận dụng cơ sở hạ tầng tại Trung Quốc để ra lệnh và kiểm soát. Mạng botnet này tham gia vào một danh sách các mã độc được thiết kế để thiết lập sự bền bỉ trong thời gian dài và có khả năng được sử dụng cho các mục đích bất chính, chẳng hạn như tấn công DDoS và khai thác tiền điện tử.
Botnet Chaos sẽ khai thác các lỗ hổng đã biết nhưng chưa được vá trong các thiết bị tường lửa để chiếm quyền truy cập ban đầu trong mạng, sau đó tiến hành do thám và bắt đầu xâm nhập vào các máy ngang hàng trong hệ thống mạng bị xâm nhập. Hơn nữa, Chaos có tính linh hoạt mà một số mã độc tương tự không có, cho phép chúng hoạt động trên nhiều loại kiến trúc tập lệnh từ ARM, Intel (i386), MIPS và PowerPC, cho phép tin tặc mở rộng phạm vi mục tiêu một cách hiệu quả và nhanh chóng gia tăng số lượng.
Trên hết, Chaos còn có khả năng thực hiện tới 70 lệnh khác nhau được gửi từ máy chủ C2, một trong số đó là lệnh để kích hoạt việc khai thác các lỗ hổng được tiết lộ công khai (CVE-2017-17215 và CVE-2022- 30525). Dựa trên việc phân tích khoảng 100 mẫu được phát hiện trong thời gian gần đây, các nhà nghiên cứu đánh giá Chaos là phiên bản tiếp theo của một dòng mã độc dựa trên Go khác có tên là Kaiji - mã độc nhắm mục tiêu vào các phiên bản Docker. Các mối tương quan giữa 2 mã độc này đều bắt nguồn từ sự trùng lặp giữa mã và hàm chức năng, giúp nó có thể chạy các lệnh tùy ý trên thiết bị của nạn nhân.
Sự phát triển của mã độc Chaos
Đầu tháng 9/2022, một máy chủ GitLab đặt tại châu Âu là một trong những nạn nhân của mã độc Chaos. Đồng thời, các nhà nghiên cứu cũng đã xác định được một chuỗi các cuộc tấn công DDoS nhằm vào các trò chơi, dịch vụ tài chính, công nghệ, truyền thông, giải trí, các nhà cung cấp dịch vụ lưu trữ và sàn giao dịch khai thác tiền điện tử. Các phát hiện này được đưa ra đúng 3 tháng sau sự xuất hiện của một trojan truy cập từ xa có tên là ZuoRAT, đã sử dụng các bộ định tuyến SOHO như một phần của chiến dịch nhắm vào các mạng ở khu vực Bắc Mỹ và châu Âu.
Black Lotus Labs cho biết họ đã vô hiệu hóa tất cả các máy chủ C2 của Chaos để chặn chúng gửi hoặc nhận dữ liệu đến các thiết bị bị nhiễm. Các nhà nghiên cứu khuyến nghị nên theo dõi các trường hợp lây nhiễm của Chaos và các kết nối đến các máy chủ đáng ngờ bằng cách sử dụng các chỉ báo về sự xâm phạm được chia sẻ trên GitHub. Bên cạnh đó, người dùng cũng nên thường xuyên cập nhật các bản vá bảo mật cho hệ thống càng sớm càng tốt và thay đổi mật khẩu mặc định trên tất cả các thiết bị.
Đinh Hồng Đạt
14:00 | 05/10/2022
09:00 | 08/06/2023
14:00 | 30/09/2022
16:00 | 09/11/2022
14:00 | 18/11/2022
09:00 | 13/07/2023
11:00 | 21/03/2023
15:00 | 25/07/2023
13:00 | 22/09/2022
13:00 | 11/07/2023
09:00 | 22/04/2022
10:00 | 19/11/2024
Các cuộc tấn công vào chuỗi cung ứng phần mềm trong vài năm gần đây đã để lại nhiều bài học đắt giá. Những sự cố này không chỉ gây thiệt hại tài chính mà còn ảnh hưởng đến niềm tin vào độ bảo mật của các dịch vụ công nghệ. Bài báo này điểm qua 10 cuộc tấn công chuỗi cung ứng phần mềm nổi bật và những bài học kinh nghiệm.
16:00 | 15/11/2024
Microsoft tiết lộ rằng, một nhóm tin tặc từ Trung Quốc được theo dõi với tên Storm-0940 đang sử dụng botnet Quad7 để dàn dựng các cuộc tấn công bằng cách dò mật khẩu (password spray) mà rất khó bị phát hiện.
10:00 | 04/11/2024
Tại Hội nghị thượng đỉnh phân tích bảo mật 2024, nhóm nghiên cứu và phân tích toàn cầu của Kaspersky (GReAT) tiết lộ, các vụ tấn công do mã độc Grandoreiro gây ra nhắm tới hơn 1.700 ngân hàng, chiếm 5% tổng số vụ tấn công bằng trojan vào các ngân hàng trong năm nay.
13:00 | 30/09/2024
Cơ quan Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã thêm 5 lỗ hổng vào danh mục Các lỗ hổng đã biết bị khai thác (KEV), trong đó có lỗ hổng thực thi mã từ xa (RCE) ảnh hưởng đến Apache HugeGraph-Server.
Một lỗ hổng zero-day mới được phát hiện ảnh hưởng đến mọi phiên bản Microsoft Windows, bao gồm cả các phiên bản cũ và đang được hỗ trợ, cho phép kẻ tấn công chiếm đoạt thông tin đăng nhập NTLM của người dùng chỉ bằng việc xem một tệp trong Windows Explorer.
10:00 | 11/12/2024