Mã độc Chaos được viết bằng ngôn ngữ lập trình Go có khả năng thiết lập môi trường máy chủ, chạy các lệnh shell từ xa, tải các môđun bổ sung, tự động lây lan thông qua việc đánh cắp và khóa cá nhân SSH, cũng như khởi chạy các cuộc tấn công . Phần lớn các bot nằm ở Châu Âu, cụ thể là Ý, một số ở Trung Quốc và khu vực Bắc Mỹ.
.png)
Khu vực mã độc Chaos hoạt động trong thời gian từ giữa tháng 6 đến tháng 7/2022
Các nhà nghiên cứu Danny Adamitis, Steve Rudd và Stephanie Walkenshaw của Black Lotus Labs đã phát hiện Chaos được viết bằng tiếng Trung và tận dụng cơ sở hạ tầng tại Trung Quốc để ra lệnh và kiểm soát. Mạng botnet này tham gia vào một danh sách các mã độc được thiết kế để thiết lập sự bền bỉ trong thời gian dài và có khả năng được sử dụng cho các mục đích bất chính, chẳng hạn như tấn công DDoS và khai thác .
Botnet Chaos sẽ khai thác các lỗ hổng đã biết nhưng chưa được vá trong để chiếm quyền truy cập ban đầu trong mạng, sau đó tiến hành do thám và bắt đầu xâm nhập vào các máy ngang hàng trong hệ thống mạng bị xâm nhập. Hơn nữa, Chaos có tính linh hoạt mà một số mã độc tương tự không có, cho phép chúng hoạt động trên nhiều loại kiến trúc tập lệnh từ ARM, Intel (i386), MIPS và PowerPC, cho phép tin tặc mở rộng phạm vi mục tiêu một cách hiệu quả và nhanh chóng gia tăng số lượng.
Trên hết, Chaos còn có khả năng thực hiện tới 70 lệnh khác nhau được gửi từ máy chủ C2, một trong số đó là lệnh để kích hoạt việc khai thác các lỗ hổng được tiết lộ công khai (CVE-2017-17215 và CVE-2022- 30525). Dựa trên việc phân tích khoảng 100 mẫu được phát hiện trong thời gian gần đây, các nhà nghiên cứu đánh giá Chaos là phiên bản tiếp theo của một dòng mã độc dựa trên Go khác có tên là Kaiji - mã độc nhắm mục tiêu vào các phiên bản Docker. Các mối tương quan giữa 2 mã độc này đều bắt nguồn từ sự trùng lặp giữa mã và hàm chức năng, giúp nó có thể chạy các lệnh tùy ý trên thiết bị của nạn nhân.
Sự phát triển của mã độc Chaos
Đầu tháng 9/2022, một máy chủ GitLab đặt tại châu Âu là một trong những nạn nhân của mã độc Chaos. Đồng thời, các nhà nghiên cứu cũng đã xác định được một chuỗi các cuộc tấn công DDoS nhằm vào các trò chơi, dịch vụ tài chính, công nghệ, truyền thông, giải trí, các nhà cung cấp dịch vụ lưu trữ và sàn giao dịch . Các phát hiện này được đưa ra đúng 3 tháng sau sự xuất hiện của một trojan truy cập từ xa có tên là ZuoRAT, đã sử dụng như một phần của chiến dịch nhắm vào các mạng ở khu vực Bắc Mỹ và châu Âu.
Black Lotus Labs cho biết họ đã vô hiệu hóa tất cả các máy chủ C2 của Chaos để chặn chúng gửi hoặc nhận dữ liệu đến các thiết bị bị nhiễm. Các nhà nghiên cứu khuyến nghị nên theo dõi các trường hợp lây nhiễm của Chaos và các kết nối đến các máy chủ đáng ngờ bằng cách sử dụng các chỉ báo về sự xâm phạm được chia sẻ trên GitHub. Bên cạnh đó, người dùng cũng nên thường xuyên cập nhật các bản vá bảo mật cho hệ thống càng sớm càng tốt và thay đổi mật khẩu mặc định trên tất cả các thiết bị.
Đinh Hồng Đạt
14:00 | 05/10/2022
09:00 | 08/06/2023
14:00 | 30/09/2022
16:00 | 09/11/2022
14:00 | 18/11/2022
09:00 | 13/07/2023
11:00 | 21/03/2023
15:00 | 25/07/2023
13:00 | 22/09/2022
13:00 | 11/07/2023
09:00 | 22/04/2022
18:00 | 11/10/2024
Trong một chiến dịch tấn công mạng quy mô lớn, Microsoft đã phối hợp với Bộ Tư pháp Hoa Kỳ (DoJ) triệt phá thành công mạng lưới 107 tên miền Internet được tin tặc Nga sử dụng để thực hiện các hoạt động lừa đảo và tấn công mạng.
11:00 | 03/09/2024
Theo báo cáo mới nhất được Viettel công bố ngày 26/8 vừa qua, cho thấy tình hình an ninh mạng đáng báo động với sự xuất hiện của 17.000 lỗ hổng mới chỉ trong 6 tháng đầu năm, đặt ra thách thức lớn cho các doanh nghiệp Việt.
10:00 | 16/08/2024
Vào tháng 5/2024, các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một mối đe dọa APT mới nhắm vào các thực thể Chính phủ Nga. Được gọi là CloudSorcerer, đây là một công cụ gián điệp mạng tinh vi được sử dụng để theo dõi lén lút, thu thập dữ liệu và đánh cắp thông tin thông qua cơ sở hạ tầng đám mây Microsoft Graph, Yandex Cloud và Dropbox. Phần mềm độc hại này tận dụng các tài nguyên đám mây và GitHub làm máy chủ điều khiển và ra lệnh (C2), truy cập chúng thông qua API bằng mã thông báo xác thực. Bài viết này sẽ tiến hành phân tích và giải mã về công cụ gián điệp mạng này, dựa trên báo cáo mới đây của Kaspersky.
13:00 | 01/08/2024
Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã bổ sung 2 lỗ hổng bảo mật vào danh mục Các lỗ hổng bị khai thác đã biết (KEV), dựa trên bằng chứng về việc khai thác tích cực trong thực tế.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
11:00 | 24/10/2024
