Tehdit avcıları, uzaktan erişim Truva atının (sıçan) yeni bir varyantına dikkat çekiyor. Kaos faresi Bu, Windows ve Linux sistemlerini hedefleyen son saldırılarda kullanılmıştır.
Acronis’in bulgularına göre, kötü amaçlı yazılım artefaktı, kurbanları Linux ortamları için bir ağ sorun giderme yardımcı programı indirmek için dağıtılmış olabilir.
Güvenlik araştırmacıları Santiago Pontiroli, Gabor Molnar ve Kirill Antonenko, Hacker News ile paylaşılan bir raporda, “Kaos Rat, Golang’da yazılmış, hem Windows hem de Linux sistemleri için platformlar arası destek sunuyor.” Dedi.
“Kobalt Strike ve Sliver gibi popüler çerçevelerden esinlenen Chaos Rat, kullanıcıların yükler oluşturabileceği, oturumlar kurabileceği ve uzlaşılmış makineleri kontrol edebilecekleri bir idari panel sunuyor.”
“Uzaktan Yönetim Aracı” üzerindeki çalışmalar 2017’de başlarken, XMRIG kripto para madencisi ile Linux sistemlerinde barındırılan kamuya açık web uygulamalarını hedefleyen kötü niyetli bir kampanyada kullanıldığı Aralık 2022’ye kadar dikkat çekmedi.
Kurulduktan sonra, kötü amaçlı yazılım harici bir sunucuya bağlanır ve ters kabukları başlatmasına, dosyaları yüklemesine/silmesine, dosyaları ve dizinleri numaralandırmasına, ekran görüntülerini almasına, sistem bilgilerini toplamaya, makineyi kilitle/yeniden başlatma/kapatmasına ve keyfi URL’leri açmasına izin veren komutları bekler. Chaos Rat’ın en son versiyonu 31 Mayıs 2024’te piyasaya sürülen 5.0.3’tür.
Acronis, kötü amaçlı yazılımların Linux varyantlarının o zamandan beri vahşi doğada tespit edildiğini, genellikle kripto para birimi madenciliği kampanyalarıyla bağlantılı olduğunu söyledi. Şirket tarafından gözlemlenen saldırı zincirleri, Chaos Rat’ın kötü niyetli bağlantılar veya ekler içeren kimlik avı e -postaları yoluyla kurbanlara dağıtıldığını gösteriyor.
Bu eserler, görev zamanlayıcısını “/etc/crontab” ı değiştirebilecek kötü amaçlı bir komut dosyası bırakmak için tasarlanmıştır.
Araştırmacılar, “İlk kampanyalar bu tekniği kripto para madencileri ve kaos sıçanını ayrı ayrı teslim etmek için kullandı, bu da kaosun öncelikle uzatılmış cihazlarda keşif ve bilgi toplama için kullanıldığını gösterdi.” Dedi.
Ocak 2025’te “Networkanalyzer.tar.gz” adıyla Hindistan’dan Virustotal’a yüklenen yakın tarihli bir örneğin analizi, kullanıcıların Linux ortamları için bir ağ sorun giderme hizmeti olarak masketoya indirerek kötü amaçlı yazılımları indirme olasılığını artırdı.
Ayrıca, kullanıcıların yükler oluşturmalarına ve enfekte makineleri yönetmesine izin veren yönetici panelinin, bir komut enjeksiyon güvenlik açığı (CVE-2024-30850, CVSS skoru: 8.8) (CVE-2024-31839, CVSS skoru ile birleştirilebilen bir müstehcen kunuşma ile birleştirilebilen bulunmuştur. Her iki güvenlik açığı o zamandan beri Mayıs 2024 itibariyle Chaos Rat’ın bakıcısı tarafından ele alınmıştır.
Şu anda gerçek dünya saldırılarında kaos sıçanının kullanımının kim olduğu net olmasa da, gelişme bir kez daha tehdit aktörlerinin açık kaynaklı araçları kendi yararlarına ve ilişkilendirme çabalarını karıştırmaya nasıl silahlandırmaya devam ettiğini gösteriyor.
Araştırmacılar, “Bir geliştiricinin aracı olarak başlayan şey, hızla bir tehdit oyuncusu seçtiği aracı haline gelebilir.” Dedi. “Herkese açık kötü amaçlı yazılımları kullanmak, uygun grupların günlük siber suçların gürültüsüne karışmasına yardımcı olur. Açık kaynaklı kötü amaçlı yazılım, hızlı bir şekilde özelleştirilebilen ve dağıtılabilen ‘yeterince iyi’ bir araç seti sunar. Birden fazla aktör aynı açık kaynak kötü amaçlı yazılımları kullandığında, atıf sularını karıştırır.”
Açıklama, aldatıcı indirme bağlantıları, kimlik avı e-postaları veya paketlenmiş yazılımlar aracılığıyla dağıtılan sahte sürümlerle güven cüzdan kullanıcılarını hedefleyen yeni bir kampanyanın ortaya çıkmasıyla çakışır, masaüstü cüzdan ve tarayıcı uzantılarından verileri, komutları yürütme ve consper kötü yazılımları olarak harekete geçirir.
Point Wild araştırmacısı Kedar S Pandit, bu hafta yayınlanan bir raporda, “Kurulduktan sonra, kötü amaçlı yazılım cüzdan dosyalarını tarayabilir, pano verilerini kesebilir veya tarayıcı oturumlarını izleyebilir,” dedi.