Chaos RAT cilja Linux i Windows korisnike

AUTOR ·

Chaos RAT je napredni alat za daljinski pristup (eng. remote access tool – RAT) dizajniran da izbjegne otkrivanje od strane bezbjednosnog softvera, a da pritom održi postojanost na ugroženim uređajima. Njegova sposobnost da se prilagodi različitim okruženjima učinila ga je ozbiljnim vektorom prijetnje, pokazuje istraživanje kompanije Acronis.

Chaos RAT

Chaos RAT cilja Linux i Windows korisnike; Source: Bing Image Creator

CHAOS RAT

Chaos RAT je alat za daljinski pristup, a odnosi se na ozloglašeni alat otvorenog kôda koji koriste zlonamjerni akteri za dobijanje neovlaštenog pristupa i kontrole nad kompromitovanim sistemima. Ovaj zlonamjerni softver omogućava zlonamjernim akterima da daljinski administriraju i manipulišu inficiranim uređajima, često sa razarajućim posljedicama i za pojedince i za organizacije.

Operativni dizajn Chaos RAT zlonamjernog softvera je posebno podmukao, jer omogućava zlonamjernim akterima da prikupljaju osjetljive informacije o ciljanom sistemu, uključujući metapodatke uređaja, korisničke akreditive i arhitekturu operativnog sistema. Zlonamjerni softver takođe obezbjeđuje internet administrativni panel koji omogućava zlonamjernim akterima da kreiraju zlonamjerne datoteke, kontrolišu kompromitovane krajnje uređaje i upravljaju kampanjama sa velikom preciznošću, što ga čini izuzetno efikasnim alatom za sajber napade.

 

Višeplatformski zlonamjerni softver

Chaos RAT zlonamjerni softver je napisan u Golang programskom jeziku, koji podržava više operativnih sistema, uključujući Windows i Linux. Inspirisan popularnim okvirima kao što su Cobalt Strike i Sliver, Chaos RAT pruža administrativni panel gdje korisnici mogu da kreiraju korisne zlonamjerne terete, uspostavljaju sesije i kontrolišu ugrožene uređaje. Iako je zlonamjerni softver baziran na Golang programskom jeziku obično sporiji i veće veličine u poređenju sa onima napisanim u C++ ili drugim uobičajenim programskim jezicima, on ima koristi od Golang mogućnosti unakrsne kompilacije, što rezultira smanjenim vremenom razvoja i većom fleksibilnošću.

Priroda otvorenog kôda Chaos RAT alata privukla je zlonamjerne aktere koji ga koriste u zlonamjerne svrhe. Prvobitno dizajniran kao legitiman alat za daljinsko upravljanje, njegova popularnost među zlonamjernim akterima brzo raste. Uprkos tome što je njegov razvoj počeo 2017. godine, prva primijećena upotreba Chaos RAT zlonamjernog softvera u napadima na stvarnom svetu dogodila se u novembru 2022. godine. Od tada, Linux varijante su se nastavile pojavljivati u javnosti, pretežno korišćene u kampanjama za rudarenje kriptovaluta.

 

Funkcionisanje

Nove varijante Chaos RAT zlonamjernog softvera su projektovane tako da se besprijekorno uklapaju u poslovna i okruženja u oblaku, koristeći Golang izvorne funkcije unakrsne kompilacije. U nedavno dokumentovanim slučajevima, zlonamjerni akteri su isporučili Chaos RAT putem phishing elektronske pošte gdje su koristili mamac u obliku alata za rješavanje mrežnih problema, sa posebnim fokusom na Linux korisnike.

Nakon izvršavanja, Chaos RAT pokreće fazu izviđanja prikupljajući detaljne metapodatke uređaja, uključujući imena uređaja, MAC/IP adrese, korisničke podatke za prijavu i arhitekturu operativnog sistema. Ove informacije se vraćaju u komandno-kontrolnu (C2) infrastrukturu zlonamjernih aktera, omogućavajući precizno profilisanje uređaja i prilagođene zlonamjerne aktivnosti.

U srži operativnog dizajna Chaos RAT zlonamjernog softvera je internet bazirani administrativni panel. Ovo okruženje omogućava zlonamjernim akterima da kreiraju korisne terete, kontrolišu ugrožene krajnje uređaje i upravljaju napadima sa visokim nivoom detaljnosti. Podržava brojne komande za manipulaciju datotekama, udaljeni pristup komandnom okruženju, eksfiltraciju datoteka i isključivanje ili ponovno pokretanje sistema.

Podrazumijevana postojanost Chaos RAT zlonamjernog softvera u velikoj mjeri se oslanja na zloupotrebu crontab alata u Linux operativnom sistemu i prikrivenost korisnih opterećenja sa malom detekcijom. Novije verzije čuvaju detalje konfiguracije (uključujući C2 adrese i JWT tokene za autentifikaciju) u Base64 kôdiranim blokovima sa nasumičnim imenima polja, što otežava otkrivanje statičkom analizom. Kada je operativan, Chaos RAT uspostavlja stalnu komunikaciju, periodično ispitujući svoj C2 za dalja uputstva i prenoseći prikupljene podatke.

Podržane komande napadača uključuju prikupljanje sistemskih informacija, snimanje ekrana, preuzimanje/otpremanje datoteka, brisanje datoteka ili direktorijuma i daljinsko izvršavanje proizvoljnih komandi komandne linije. Za Windows operativne sisteme, dostupne su dodatne mogućnosti kao što su “Run Hidden” za prikriveno korišćenje, zaključavanje sistema i komande za odjavu. Zlonamjerni softver takođe koristi biblioteke otvorenog kôda kako bi poboljšao svoj arsenal za nadzor i krađu podataka.

 

Operativni propust

Zanimljivo je da su sigurnosni istraživači otkrili kritičnu ranjivost CVE-2024-30850 u Chaos RAT internet panelu koja omogućava daljinsko izvršavanje kôda na samom serveru. Ova ranjivost je posebno zabrinjavajuća, jer omogućava drugim protivnicima da ubrizgavaju zlonamjerne komande i dobiju neovlašteni pristup osjetljivim podacima ili sistemima.

Ozbiljnost ovog problema je pogoršana ranjivošću međulokacijskog skriptovanja (eng. cross-site scripting – XSS) CVE-2024-31839, koji olakšava napade na strani klijenta putem lažnih podataka o povratnim pozivima. Ove lančane ranjivosti stvaraju rijedak, ali opasan scenario “zamjene uloga”, gdje zlonamjerni akteri mogu postati žrtve korištenjem Chaos RAT zlonamjernog softvera kao alata za kontra-eksploataciju.

 

Paradoks otvorenog kôda

U svijetu sajber bezbjednosti postaje sve jasnije da je zlonamjerni softver otvorenog kôda sve veća briga, a Chaos RAT je jedan takav primjer. Problem je u lakoći kojom zlonamjerni akteri mogu da modifikuju i prenamjene kôd i stvore nove varijante koje mogu da izbjegnu detekciju zasnovanu na potpisu, dok ujedno pripisivanje čini veoma izazovnim.

Otvoreni kôd Chaos RAT zlonamjernog softvera omogućava zlonamjernim akterima da ga lako prilagode, igrajući igru mačke i miša protiv stručnjaka za sajber bezbjednost gdje ova dinamika otežava bezbjednosnim timovima da prate razvoj prijetnji. Ovdje se nameće zaključak da nešto što je u početku alat programera, vrlo brzo može postati instrument po izboru zlonamjernih aktera. Posljedica rasprostranjene upotrebe zlonamjernog softvera otvorenog kôda zamagljuje pripisivanje i daje grupama naprednih trajnih prijetnji (eng. advanced persistent threat – APT) uvjerljivu mogućnost poricanja.

Situacija se komplikuje kada više aktera koristi slične alate bez jasnih veza, granice između sajber kriminala i aktivnosti koje sponzoriše država počinju da se zamagljuju. Ova dvosmislenost dodatno otežava stručnjacima za bezbjednost da utvrde prave namjere koje stoje iza određenog napada ili kampanje. Zbog toga postaje očigledno da evolucija Chaos RAT zlonamjernog softvera nije samo stvar njegovih tehničkih mogućnosti, već i društvenih implikacija zlonamjernog softvera otvorenog kôda.

 

Uticaj

Pojava i širenje Chaos RAT zlonamjernog softvera ima dubok uticaj na sajber bezbjednost. Kao alat za daljinsko administriranje otvorenog kôda, prvobitno zamišljen kao legitiman program, njegova brza upotreba od strane zlonamjernih aktera pretvorila ga je u moćnu silu u svetu sajber kriminala.

Sposobnost Chaos RAT zlonamjernog softvera da se besprijekorno uklopi u poslovna i okruženja u oblaku je posebno zabrinjavajuća. Njegove mogućnosti za više platformi omogućavaju zlonamjernim akterima da lako ciljaju i korisnike Linux i Windows okruženja, što ga čini svestranim alatom za krađu osjetljivih podataka iz različitih sistema. Činjenica da su nove varijante projektovane da izbjegnu otkrivanje od strane bezbjednog softvera dodatno naglašava sofisticiranost njegovih tvoraca.

Uticaj na napore pripisivanja takođe se ne mogu zanemariti. Kada više zlonamjernih aktera koristi isti zlonamjerni softver otvorenog kôda kao što je Chaos RAT, sve je teže utvrditi ko stoji iza određene kampanje ili napada. Ovo otežava pripisivanje i onemogućava stručnjacima za sajber bezbjednost da utvrde krivce odgovorne za ove zlonamjerne aktivnosti.

Brzina i isplativost korištenja javno dostupnog zlonamjernog softvera takođe igraju značajnu ulogu u uticaju Chaos RAT zlonamjernog softvera na modernu sajber bezbjednost. Čak i dobro opremljene napredne trajne prijetnje (APT) moraju brzo da djeluju ili da skaliraju operacije na više ciljeva, što čini zlonamjerni softver otvorenog kôda atraktivnom opcijom za brzo prilagođavanje i raspoređivanje. Ovaj “dovoljno dobar” alat se može prilagoditi specifičnim potrebama svake kampanje napada.

Zbog svega navedenog, uticaj na korisnike i organizacije se ne može zanemariti. Kako se Chaos RAT nastavlja razvijati, on predstavlja značajan rizik za osjetljive podatke sačuvane u različitim sistemima. Njegova sposobnost da izvuče informacije bez otkrivanja čini ga ozbiljnom prijetnjom u svetu sajber kriminala.

 

ZAKLJUČAK

Jedna od glavnih briga povezanih sa Chaos RAT zlonamjernim softverom je njegova sposobnost da se uklopi u buku svakodnevnog sajber kriminala. Kao javno dostupan zlonamjerni softver, on omogućava grupama naprednih trajnih prijetnji (APT) da ga koriste kao dio svojih operacija bez pretjeranog skretanja pažnje na sebe. Ovo otežava pripisivanje, jer zlonamjerni akteri niskog nivoa mogu takođe koristiti isti alat u zlonamjerne svrhe.

Osim toga, priroda otvorenog kôda Chaos RAT zlonamjernog softvera pruža grupama naprednih trajnih prijetnji (APT) efikasan i isplativ alat koji se može brzo prilagoditi i primijeniti na više meta. Kompatibilnost zlonamjernog softvera sa više platformi (podržava i Windows i Linux sisteme) doprinosi njegovoj privlačnosti, jer omogućava zlonamjernim akterima da ciljaju širi spektar žrtava bez potrebe da razvijaju posebne alate za svaki operativni sistem.

Zanimljivo je da je utvrđeno da sama kontrolna tabla Chaos RAT zlonamjernog softvera ima ranjivosti koje bi potencijalno mogle da omoguće potpuno kompromitovanje servera ili izvršavanje kôda na strani klijenta. Ove ranjivosti su ispravljene u maju 2024. godine, ali njihovo postojanje služi kao podsjetnik na mač sa dvije oštrice povezan sa korišćenjem javno dostupnih platformi zlonamjernog softvera.

Diskusija o Chaos RAT zlonamjernom softveru ističe njegov potencijal kao svestranog i efikasnog alata za zlonamjerne aktere. Njegova priroda otvorenog kôda omogućava mu da se uklopi u svakodnevnu buku sajber kriminala, što otežava pripisivanje, njegova kompatibilnost sa više platformi omogućava lako ciljanje i Windows i Linux sistema; a njegove napredne mogućnosti čine ga atraktivnim izborom za grupe naprednih trajnih prijetnji (APT) koji traže efikasna i isplativa rješenja.

Na kraju krajeva, razumijevanje ovih aspekata Chaos RAT zlonamjernog softvera je ključno za razvoj efikasnih kontramjera protiv ovog zlonamjernog softvera. Kako zlonamjerni akteri nastavljaju da evoluiraju i usavršavaju svoje alate, sve je važnije da stručnjaci za bezbjednost budu informisani o najnovijim dešavanjima i ranjivostima povezanim sa javno dostupnim platformama zlonamjernog softvera poput Chaos RAT zlonamjernog softvera.

 

ZAŠTITA

Evo nekoliko preporuka za zaštitu od Chaos RAT zlonamjernog softvera:

  1. Chaos RAT često iskorišćava ljudske greške, tako da je ključno edukovati korisnike o opasnostima phishing prevara i implementirati robusne mjere protiv phishing napada kao što su filtriranje elektronske pošte, obuka za podizanje svesti korisnika i redovne bezbjednosne revizije;
  2. Osigurati da su svi sistemi pravilno obezbijeđeni ažuriranim ispravkama za operativni sistem, antivirusnim softverom, zaštitnim zidovima i sistemima za otkrivanje ili prevenciju upada. Redovno ažurirati ove komponente kako bi se spriječilo iskorištavanje od strane Chaos RAT ili drugih varijanti zlonamjernog softvera;
  3. Sprovoditi temeljne bezbjednosne revizije kako bi se identifikovale ranjivosti u mrežnoj infrastrukturi, aplikacijama i rješenjima za skladištenje podataka. Ovo će pomoći da se prvo daju prioriteti naporima za sanaciju na osnovu područja sa najvećim rizikom;
  4. Redovno pregledati dnevnike evidencija kako bi se otkrile sumnjive aktivnosti ili anomalije koje mogu ukazivati na potencijalni napad. Ova proaktivna mjera može pomoći u identifikaciji i obuzdavanju prijetnji pre nego što eskaliraju u potpune napade;
  5. Razvijati plan odgovora na sajber prijetnju koji opisuje procedure za otkrivanje, reagovanje, obuzdavanje, iskorjenjivanje i oporavak od potencijalnih napada ili ugrožavanja podataka izazvanih Chaos RAT ili drugim varijantama zlonamjernog softvera;
  6. Uvjeriti se da su svi Linux i Windows uređaji pravilno konfigurisani imajući u vidu najbolje bezbjednosne prakse, uključujući onemogućavanje nepotrebnih usluga, implementaciju strogih kontrola pristupa i redovno ažuriranje ispravki operativnog sistema;
  7. Instalirati pouzdana antivirusna rješenja na krajnje uređaje kako bi se otkrile i spriječile infekcije zlonamjernim softverom izazvane Chaos RAT ili drugim varijantama zlonamjernog softvera;
  8. Implementirati autentifikaciju u više koraka (eng. multi-factor authentication – MFA) za sve korisnike kako bi se dodao još jedan sloj bezbjednosti od neovlaštenih pokušaja pristupa od strane zlonamjernog aktera koji koriste Chaos RAT ili druge varijante zlonamjernog kôda;
  9. Podijeliti mrežu na izolovane segmente sa strogom kontrolom pristupa kako bi se spriječilo bočno kretanje zlonamjernog aktera koji koristi Chaos RAT ili druge varijante zlonamjernog softvera;
  10. Kontinuirano pratiti izvore vesti o bezbjednosti radi informacija o novim vektorima napada, ranjivostima i ispravkama vezanim za varijantu zlonamjernog softvera Chaos RAT.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.