Un nuovo malware multifunzione basato su Go chiamato caos è cresciuto rapidamente di volume negli ultimi mesi per intrappolare un’ampia varietà di router Windows, Linux, Small Office/Home Office (SOHO) e server aziendali nella sua botnet.

“La funzionalità Chaos include la possibilità di enumerare l’ambiente host, eseguire comandi shell remoti, caricare moduli aggiuntivi, distribuire automaticamente rubando e forzando le chiavi private SSH e lanciando attacchi DDoS”, hanno affermato i ricercatori di Black Lotus Labs Lumen. disse in un articolo condiviso con The Hacker News.

La maggior parte dei bot si trova in Europa, in particolare in Italia, con altre infezioni segnalate in Cina e negli Stati Uniti, che rappresentano collettivamente “centinaia di indirizzi IP univoci” nel periodo di un mese da metà giugno a metà luglio 2022.

– Annuncio –

Scritta in cinese e sfruttando un’infrastruttura con sede in Cina per il comando e il controllo, la botnet si unisce a una lunga lista di malware progettati per costruire la persistenza per lunghi periodi di tempo e possibilmente abusare delle sue gambe per scopi nefasti, come attacchi DDoS e mining di criptovalute.

D’altra parte, questi sviluppi rappresentano anche un drammatico aumento del numero di malintenzionati che si rivolgono a linguaggi di programmazione come Go per eludere il rilevamento e complicare il reverse engineering, per non parlare del prendere di mira più piattaforme contemporaneamente.

Il caos (da non confondere con i creatori del ransomware con lo stesso nome) è all’altezza del suo nome sfruttando vulnerabilità di sicurezza note per ottenere l’accesso anticipato, quindi abusarne per eseguire ricognizioni e avviare movimenti laterali su reti compromesse.

Inoltre, il malware ha una versatilità che un malware simile non ha, consentendogli di essere eseguito su una varietà di architetture di set di istruzioni da ARM, Intel (i386), MIPS e PowerPC, consentendo agli attori delle minacce di estendere la portata dei loro obiettivi. e in rapida crescita.

Inoltre, Chaos ha inoltre la capacità di eseguire fino a 70 diversi comandi inviati dal server C2, uno dei quali è un’istruzione per attivare un exploit di vulnerabilità divulgato pubblicamente (CVE-2017-17215 e CVE-2022-30525) definiti nel file.

Si ritiene inoltre che il caos sia un’evoluzione di un altro malware DDoS basato su Go chiamato Kaiji che in precedenza prendeva di mira istanze Docker configurate in modo errato. La correlazione, secondo Black Lotus Labs, deriva dalla sovrapposizione di codice e funzionalità basata su un’analisi di oltre 100 campioni.

I server GitLab situati in Europa sono stati tra le vittime della botnet Chaos durante le prime settimane di settembre, ha affermato la società, aggiungendo di aver identificato una serie di attacchi DDoS rivolti a entità che includono giochi, servizi finanziari e tecnologici, media e intrattenimento. e l’ospite. Sono stati presi di mira anche gli scambi di criptovalute.

I risultati arrivano esattamente tre mesi dopo che l’azienda di sicurezza informatica ha esposto un nuovo Trojan di accesso remoto chiamato ZuoRAT che prende di mira i router SOHO come parte di una sofisticata campagna contro le reti nordamericane ed europee.

“Abbiamo visto il malware complesso quadruplicare in soli due mesi e siamo ben posizionati per continuare ad accelerare”, ha affermato Mark Dehus, direttore dell’intelligence sulle minacce per Lumen Black Lotus Labs. “Il caos rappresenta una minaccia per un’ampia gamma di dispositivi e host consumer e aziendali”.