Mã độc Chaos được viết bằng ngôn ngữ lập trình Go có khả năng thiết lập môi trường máy chủ, chạy các lệnh shell từ xa, tải các môđun bổ sung, tự động lây lan thông qua việc đánh cắp và brute-force khóa cá nhân SSH, cũng như khởi chạy các cuộc tấn công DDoS. Phần lớn các bot nằm ở Châu Âu, cụ thể là Ý, một số ở Trung Quốc và khu vực Bắc Mỹ.
Khu vực mã độc Chaos hoạt động trong thời gian từ giữa tháng 6 đến tháng 7/2022
Các nhà nghiên cứu Danny Adamitis, Steve Rudd và Stephanie Walkenshaw của Black Lotus Labs đã phát hiện Chaos được viết bằng tiếng Trung và tận dụng cơ sở hạ tầng tại Trung Quốc để ra lệnh và kiểm soát. Mạng botnet này tham gia vào một danh sách các mã độc được thiết kế để thiết lập sự bền bỉ trong thời gian dài và có khả năng được sử dụng cho các mục đích bất chính, chẳng hạn như tấn công DDoS và khai thác tiền điện tử.
Botnet Chaos sẽ khai thác các lỗ hổng đã biết nhưng chưa được vá trong các thiết bị tường lửa để chiếm quyền truy cập ban đầu trong mạng, sau đó tiến hành do thám và bắt đầu xâm nhập vào các máy ngang hàng trong hệ thống mạng bị xâm nhập. Hơn nữa, Chaos có tính linh hoạt mà một số mã độc tương tự không có, cho phép chúng hoạt động trên nhiều loại kiến trúc tập lệnh từ ARM, Intel (i386), MIPS và PowerPC, cho phép tin tặc mở rộng phạm vi mục tiêu một cách hiệu quả và nhanh chóng gia tăng số lượng.
Trên hết, Chaos còn có khả năng thực hiện tới 70 lệnh khác nhau được gửi từ máy chủ C2, một trong số đó là lệnh để kích hoạt việc khai thác các lỗ hổng được tiết lộ công khai (CVE-2017-17215 và CVE-2022- 30525). Dựa trên việc phân tích khoảng 100 mẫu được phát hiện trong thời gian gần đây, các nhà nghiên cứu đánh giá Chaos là phiên bản tiếp theo của một dòng mã độc dựa trên Go khác có tên là Kaiji - mã độc nhắm mục tiêu vào các phiên bản Docker. Các mối tương quan giữa 2 mã độc này đều bắt nguồn từ sự trùng lặp giữa mã và hàm chức năng, giúp nó có thể chạy các lệnh tùy ý trên thiết bị của nạn nhân.
Sự phát triển của mã độc Chaos
Đầu tháng 9/2022, một máy chủ GitLab đặt tại châu Âu là một trong những nạn nhân của mã độc Chaos. Đồng thời, các nhà nghiên cứu cũng đã xác định được một chuỗi các cuộc tấn công DDoS nhằm vào các trò chơi, dịch vụ tài chính, công nghệ, truyền thông, giải trí, các nhà cung cấp dịch vụ lưu trữ và sàn giao dịch khai thác tiền điện tử. Các phát hiện này được đưa ra đúng 3 tháng sau sự xuất hiện của một trojan truy cập từ xa có tên là ZuoRAT, đã sử dụng các bộ định tuyến SOHO như một phần của chiến dịch nhắm vào các mạng ở khu vực Bắc Mỹ và châu Âu.
Black Lotus Labs cho biết họ đã vô hiệu hóa tất cả các máy chủ C2 của Chaos để chặn chúng gửi hoặc nhận dữ liệu đến các thiết bị bị nhiễm. Các nhà nghiên cứu khuyến nghị nên theo dõi các trường hợp lây nhiễm của Chaos và các kết nối đến các máy chủ đáng ngờ bằng cách sử dụng các chỉ báo về sự xâm phạm được chia sẻ trên GitHub. Bên cạnh đó, người dùng cũng nên thường xuyên cập nhật các bản vá bảo mật cho hệ thống càng sớm càng tốt và thay đổi mật khẩu mặc định trên tất cả các thiết bị.
Đinh Hồng Đạt
14:00 | 05/10/2022
09:00 | 08/06/2023
14:00 | 30/09/2022
16:00 | 09/11/2022
14:00 | 18/11/2022
09:00 | 13/07/2023
11:00 | 21/03/2023
15:00 | 25/07/2023
13:00 | 22/09/2022
13:00 | 11/07/2023
09:00 | 22/04/2022
10:00 | 04/11/2024
Tại Hội nghị thượng đỉnh phân tích bảo mật 2024, nhóm nghiên cứu và phân tích toàn cầu của Kaspersky (GReAT) tiết lộ, các vụ tấn công do mã độc Grandoreiro gây ra nhắm tới hơn 1.700 ngân hàng, chiếm 5% tổng số vụ tấn công bằng trojan vào các ngân hàng trong năm nay.
11:00 | 24/10/2024
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
07:00 | 21/10/2024
Một nghiên cứu mới đây cho thấy 7 nhãn hiệu ô tô hàng đầu tại Úc đang thu thập và bán dữ liệu về người lái, gây lo ngại về quyền riêng tư. Đặc biệt, Hyundai và Kia bị cáo buộc bán dữ liệu nhận dạng giọng nói cho bên thứ ba để huấn luyện AI.
14:00 | 09/09/2024
Những kẻ tấn công chưa rõ danh tính đã triển khai một backdoor mới có tên Msupedge trên hệ thống Windows của một trường đại học ở Đài Loan, bằng cách khai thác lỗ hổng thực thi mã từ xa PHP (có mã định danh là CVE-2024-4577).
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
11:00 | 24/10/2024