İlk olarak 2022’de tanımlanan kötü şöhretli bir açık kaynaklı uzaktan uygulama aracı (sıçan) olan Chaos Rat’ın güncellenmiş varyantlarının keşfedilmesiyle yeni bir siber tehdit dalgası ortaya çıktı.
Acronis TRU araştırmacıları tarafından son 2025 analizlerinde bildirildiği gibi, bu kötü amaçlı yazılım gelişmeye devam ederek hem Linux hem de Windows ortamlarını casusluk ve veri açığa vurma için sofistike özelliklere sahip.
Yükselişte platformlar arası kötü amaçlı yazılım
Golang’da yazılan Chaos Rat, platformlar arası uyumluluktan yararlanır ve saldırganların farklı sistemlere yükleri nispeten kolaylıkla dağıtmasını sağlar.
.png
)
Gerçek dünya saldırılarında tespit edilen en son yinelemeleri, özellikle Linux kullanıcıları için meşru ağ sorunlarını giderme yardımcı programları olarak gizlenerek, şüphesiz kurbanları, Hindistan’dan Virustotal’a gönderilen yakın zamanda analiz edilen “Networkanalyzer.tar.gz” dosyası gibi kötü amaçlı yükleri indirmeye çekiyor.
Kaos Rat’ın mimarisi oldukça esnek ve tehlikeli bir araç setini ortaya koyuyor. Varsayılan kimlik bilgilerine (admin: admin) bir tarayıcı üzerinden erişilebilen yönetim paneli, 64 bit yükler oluşturmak, tehlikeye atılan istemcileri yönetmek ve komutları yürütmek için saldırganlara bir gösterge tablosu sağlar.
Sıçan, sistem bilgileri toplama (“getOS” komutu aracılığıyla), Kbinani/ekran görüntüsü kütüphanesini kullanarak ekran görüntüsü yakalamasını ve operasyonları yükleme, indirme ve silme yoluyla dosya manipülasyonu dahil olmak üzere çok çeşitli işlevleri destekler.
Komut ve kontrol (C2) sunucusu ile iletişim, 176.65.141.63 gibi gömülü IP adresleri olan ve 5223 gibi portlarda görüldüğü gibi, kimlik doğrulama için Base64 kodlu yapılandırılmış yapılandırmalar ve JSON Web jetonları (JWTS) ile sabitlenir.
Güvenlik açıklarından yararlanmak
Ayrıca, web panelinde kritik bir güvenlik açığı (CVE-2024-30850) sunucunun kendisinde uzaktan kod yürütülmesine izin verir, paneli Rick Astley’in “Asla Pes Etmey” için kandıran güvenlik araştırmacısı Chebuya tarafından mizahi bir etkiye sahip bir kusur.
Bir XSS sorunu (CVE-2024-31839) ile birleştirilen bu güvenlik açığı, hem saldırganlar için bir araç hem de karşı sömürme için potansiyel bir hedef olarak Chaos sıçanının çift kenarlı doğasının altını çizmektedir.
En son Ekim 2024’te güncellenen GitHub’daki açık kaynaklı kullanılabilirliği, tehdit aktörleri tespitten kaçınmak, siber suç gürültüsüne karışarak ve benzer sıçanlar kullanılarak APT41 ve APT10 gibi APT gruplarıyla görülen atıf taktiklerini karmaşıklaştırabileceği için riski daha da artırır.
Kötü amaçlı yazılımların planlanan yük güncellemeleri için Linux’ta değiştirme /etc /crontab gibi kalıcılık mekanizmaları ve gizli yürütme seçenekleriyle pencerelerde gizlice çalışabilme yeteneği, fidye yazılımı kampanyalarında dayanıklar oluşturmak için güçlü bir tehdit haline getirir.
Acronis Cyber Protect Bulut bu varyantları “Trojan.linux.chaosrat.a” olarak algılar ve EDR çözümü artık Ubuntu 22.04 gibi Linux ortamlarını, eyleme geçirilebilir iyileştirme için Geter ATT & CK çerçevesi ile eşleştirme.
Kaos sıçan platformlar arasında hassas verileri hedeflemeye devam ettikçe, savunucular uyanık kalmalı, uzlaşma göstergelerini (IOCS) ve Acronis tarafından tespit ve hafifletme çabalarını desteklemek için sağlanan YARA kurallarından yararlanmalıdır.
Uzlaşma Göstergeleri (IOCS)
| Tip | Değer |
|---|---|
| SHA256 | 1E074D9DCA6EF0EDD24AFB2D13CA4429DEF5FC5486CD4170C989EF60EFD0BBB0 |
| SHA256 | A51416ea472658b5530a92163e64cfa51f983dfabe3da38e0646e92fb14de191 |
| Çocukların yönetimi | ELF_CHAOS_RAT (Kaos-Rat Göstergeleri ile Linux ELF İkili <10mb algılar) |
Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun