Yeni Kaos Rat, hassas verileri çalmak için Linux ve Windows kullanıcılarını hedefliyor


İlk olarak 2022’de tanımlanan kötü şöhretli bir açık kaynaklı uzaktan uygulama aracı (sıçan) olan Chaos Rat’ın güncellenmiş varyantlarının keşfedilmesiyle yeni bir siber tehdit dalgası ortaya çıktı.

Acronis TRU araştırmacıları tarafından son 2025 analizlerinde bildirildiği gibi, bu kötü amaçlı yazılım gelişmeye devam ederek hem Linux hem de Windows ortamlarını casusluk ve veri açığa vurma için sofistike özelliklere sahip.

Yükselişte platformlar arası kötü amaçlı yazılım

Golang’da yazılan Chaos Rat, platformlar arası uyumluluktan yararlanır ve saldırganların farklı sistemlere yükleri nispeten kolaylıkla dağıtmasını sağlar.

– Reklamcılık –
Google Haberleri
Kaos faresi
Saldırı zinciri

Gerçek dünya saldırılarında tespit edilen en son yinelemeleri, özellikle Linux kullanıcıları için meşru ağ sorunlarını giderme yardımcı programları olarak gizlenerek, şüphesiz kurbanları, Hindistan’dan Virustotal’a gönderilen yakın zamanda analiz edilen “Networkanalyzer.tar.gz” dosyası gibi kötü amaçlı yükleri indirmeye çekiyor.

Kaos Rat’ın mimarisi oldukça esnek ve tehlikeli bir araç setini ortaya koyuyor. Varsayılan kimlik bilgilerine (admin: admin) bir tarayıcı üzerinden erişilebilen yönetim paneli, 64 bit yükler oluşturmak, tehlikeye atılan istemcileri yönetmek ve komutları yürütmek için saldırganlara bir gösterge tablosu sağlar.

Kaos faresi
Yönetici paneli

Sıçan, sistem bilgileri toplama (“getOS” komutu aracılığıyla), Kbinani/ekran görüntüsü kütüphanesini kullanarak ekran görüntüsü yakalamasını ve operasyonları yükleme, indirme ve silme yoluyla dosya manipülasyonu dahil olmak üzere çok çeşitli işlevleri destekler.

Komut ve kontrol (C2) sunucusu ile iletişim, 176.65.141.63 gibi gömülü IP adresleri olan ve 5223 gibi portlarda görüldüğü gibi, kimlik doğrulama için Base64 kodlu yapılandırılmış yapılandırmalar ve JSON Web jetonları (JWTS) ile sabitlenir.

Güvenlik açıklarından yararlanmak

Ayrıca, web panelinde kritik bir güvenlik açığı (CVE-2024-30850) sunucunun kendisinde uzaktan kod yürütülmesine izin verir, paneli Rick Astley’in “Asla Pes Etmey” için kandıran güvenlik araştırmacısı Chebuya tarafından mizahi bir etkiye sahip bir kusur.

Bir XSS sorunu (CVE-2024-31839) ile birleştirilen bu güvenlik açığı, hem saldırganlar için bir araç hem de karşı sömürme için potansiyel bir hedef olarak Chaos sıçanının çift kenarlı doğasının altını çizmektedir.

En son Ekim 2024’te güncellenen GitHub’daki açık kaynaklı kullanılabilirliği, tehdit aktörleri tespitten kaçınmak, siber suç gürültüsüne karışarak ve benzer sıçanlar kullanılarak APT41 ve APT10 gibi APT gruplarıyla görülen atıf taktiklerini karmaşıklaştırabileceği için riski daha da artırır.

Kötü amaçlı yazılımların planlanan yük güncellemeleri için Linux’ta değiştirme /etc /crontab gibi kalıcılık mekanizmaları ve gizli yürütme seçenekleriyle pencerelerde gizlice çalışabilme yeteneği, fidye yazılımı kampanyalarında dayanıklar oluşturmak için güçlü bir tehdit haline getirir.

Acronis Cyber ​​Protect Bulut bu varyantları “Trojan.linux.chaosrat.a” olarak algılar ve EDR çözümü artık Ubuntu 22.04 gibi Linux ortamlarını, eyleme geçirilebilir iyileştirme için Geter ATT & CK çerçevesi ile eşleştirme.

Kaos sıçan platformlar arasında hassas verileri hedeflemeye devam ettikçe, savunucular uyanık kalmalı, uzlaşma göstergelerini (IOCS) ve Acronis tarafından tespit ve hafifletme çabalarını desteklemek için sağlanan YARA kurallarından yararlanmalıdır.

Uzlaşma Göstergeleri (IOCS)

TipDeğer
SHA2561E074D9DCA6EF0EDD24AFB2D13CA4429DEF5FC5486CD4170C989EF60EFD0BBB0
SHA256A51416ea472658b5530a92163e64cfa51f983dfabe3da38e0646e92fb14de191
Çocukların yönetimiELF_CHAOS_RAT (Kaos-Rat Göstergeleri ile Linux ELF İkili <10mb algılar)

Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun



Source link