Eine neue, multifunktionale Go-basierte Malware mit dem Namen Chaos hat sich in den letzten Monaten rasant ausgebreitet und eine Vielzahl von Windows-, Linux-, Small Office/Home Office (SOHO)-Routern und Unternehmensservern in ihr Botnetz eingeschlossen.
„Zu den Funktionen von Chaos gehört die Fähigkeit, die Host-Umgebung aufzuzählen, Remote-Shell-Befehle auszuführen, zusätzliche Module zu laden, sich automatisch durch Diebstahl und Brute-Forcing von privaten SSH-Schlüsseln zu verbreiten und DDoS-Angriffe zu starten“, so die Forscher von Lumens Black Lotus Labs in einem Bericht an The Hacker News.
Ein Großteil der Bots befindet sich in Europa, insbesondere in Italien. Weitere Infektionen wurden aus China und den USA gemeldet. Insgesamt handelt es sich um „Hunderte von eindeutigen IP-Adressen“ in einem Zeitraum von einem Monat, von Mitte Juni bis Mitte Juli 2022.
Das Botnetz ist in chinesischer Sprache verfasst und nutzt eine in China ansässige Infrastruktur für die Steuerung. Es reiht sich damit in eine lange Liste von Schadprogrammen ein, die darauf ausgelegt sind, sich über längere Zeiträume zu halten und diese Position für schändliche Zwecke wie DDoS-Angriffe und das Schürfen von Kryptowährungen zu nutzen.
Die Entwicklung deutet auch darauf hin, dass Bedrohungsakteure zunehmend auf Programmiersprachen wie Go umsteigen, um der Entdeckung zu entgehen und Reverse Engineering zu erschweren, ganz zu schweigen davon, dass sie mehrere Plattformen gleichzeitig angreifen.
Chaos (nicht zu verwechseln mit dem gleichnamigen Ransomware-Builder) macht seinem Namen alle Ehre, indem es bekannte Sicherheitslücken ausnutzt, um sich zunächst Zugang zu verschaffen und diesen dann zu missbrauchen, um das kompromittierte Netzwerk auszukundschaften und sich dort zu bewegen.
Darüber hinaus verfügt die Malware über eine Vielseitigkeit, die ähnliche Malware nicht hat, denn sie kann auf einer Vielzahl von Befehlssatzarchitekturen von ARM, Intel (i386), MIPS und PowerPC operieren, was es dem Bedrohungsakteur ermöglicht, den Umfang seiner Ziele zu erweitern und schnell an Volumen zu gewinnen.
Darüber hinaus ist Chaos in der Lage, bis zu 70 verschiedene Befehle auszuführen, die vom C2-Server gesendet werden. Einer davon ist ein Befehl, der die Ausnutzung von öffentlich bekannt gegebenen Schwachstellen (CVE-2017-17215 und CVE-2022-30525) in einer Datei auslöst.
Es wird vermutet, dass Chaos eine Weiterentwicklung einer anderen Go-basierten DDoS-Malware namens Kaiji ist, die es bereits auf falsch konfigurierte Docker-Instanzen abgesehen hat. Die Zusammenhänge ergeben sich laut Black Lotus Labs aus sich überschneidendem Code und Funktionen, die auf einer Analyse von über 100 Beispielen basieren.
Laut Black Lotus Labs gehörte ein GitLab-Server in Europa zu den Opfern des Chaos-Botnetzes in den ersten Septemberwochen. Darüber hinaus wurden eine Reihe von DDoS-Angriffen auf Unternehmen aus den Bereichen Glücksspiel, Finanzdienstleistungen, Technologie, Medien und Unterhaltung sowie Hosting-Anbieter festgestellt. Auch eine Krypto-Mining-Börse war betroffen.
Die Erkenntnisse kommen genau drei Monate nachdem das Cybersecurity-Unternehmen einen neuen Remote-Access-Trojaner namens ZuoRAT aufgedeckt hat, der im Rahmen einer ausgeklügelten Kampagne gegen nordamerikanische und europäische Netzwerke SOHO-Router ins Visier genommen hat.
„Wir haben es mit einer komplexen Malware zu tun, die sich in nur zwei Monaten vervierfacht hat, und sie ist gut aufgestellt, um weiter zu wachsen“, sagt Mark Dehus, Director of Threat Intelligence bei Lumen Black Lotus Labs. „Das Chaos stellt eine Bedrohung für eine Vielzahl von Verbraucher- und Unternehmensgeräten und Hosts dar.