Experti upozorňují na novou variantu vzdáleného přístupového trojského koně (RAT) s názvem Chaos RAT, která byla použita v nedávných útocích zaměřených na systémy Windows a Linux.

Podle zjištění společnosti Acronis mohl být tento škodlivý kód šířen tím, že oběti byly oklamány ke stažení nástroje pro řešení síťových problémů v prostředí Linux.

„Chaos RAT je open-source RAT napsaný v jazyce Golang, který nabízí multiplatformní podporu pro systémy Windows i Linux,“ uvedli bezpečnostní experti Santiago Pontiroli, Gabor Molnar a Kirill Antonenko. „Chaos RAT je inspirován populárními frameworky jako Cobalt Strike a Sliver a poskytuje administrátorské rozhraní, kde mohou uživatelé vytvářet payloady, navazovat relace a ovládat kompromitované stroje.“

Ačkoli práce na „nástroji pro vzdálenou správu“ začaly již v roce 2017, pozornost na sebe upoutal až v prosinci 2022, kdy byl použit v škodlivé kampani zaměřené na veřejně přístupné webové aplikace hostované na linuxových systémech s těžařem kryptoměny XMRig.

Po instalaci se malware připojí k externímu serveru a čeká na příkazy, které mu umožňují spouštět reverzní shell, nahrávat/stahovat/mazat soubory, procházet soubory a adresáře, pořizovat snímky obrazovky, shromažďovat informace o systému, zamykat/restartovat/vypínat zařízení a otevírat libovolné URL adresy. Nejnovější verze Chaos RAT je 5.0.3, která byla vydána 31. května 2024. Acronis uvedl, že linuxové varianty tohoto malwaru byly od té doby detekovány v reálném provozu, často v souvislosti s kampaněmi na těžbu kryptoměn.

Řetězce útoků pozorované společností ukazují, že Chaos RAT je distribuován obětem prostřednictvím phishingových e-mailů obsahujících škodlivé odkazy nebo přílohy. Tyto artefakty jsou navrženy tak, aby spouštěly škodlivý skript, který může upravit plánovač úloh „/etc/crontab“ a pravidelně stahovat malware jako způsob zajištění perzistence.

Zdroj: The Hacker News

Zdroj: IT SECURITY NETWORK NEWS  

Zdroj: ICT NETWORK NEWS