Mã độc Chaos được viết bằng ngôn ngữ lập trình Go có khả năng thiết lập môi trường máy chủ, chạy các lệnh shell từ xa, tải các môđun bổ sung, tự động lây lan thông qua việc đánh cắp và brute-force khóa cá nhân SSH, cũng như khởi chạy các cuộc tấn công DDoS. Phần lớn các bot nằm ở Châu Âu, cụ thể là Ý, một số ở Trung Quốc và khu vực Bắc Mỹ.
.png)
Khu vực mã độc Chaos hoạt động trong thời gian từ giữa tháng 6 đến tháng 7/2022
Các nhà nghiên cứu Danny Adamitis, Steve Rudd và Stephanie Walkenshaw của Black Lotus Labs đã phát hiện Chaos được viết bằng tiếng Trung và tận dụng cơ sở hạ tầng tại Trung Quốc để ra lệnh và kiểm soát. Mạng botnet này tham gia vào một danh sách các mã độc được thiết kế để thiết lập sự bền bỉ trong thời gian dài và có khả năng được sử dụng cho các mục đích bất chính, chẳng hạn như tấn công DDoS và khai thác tiền điện tử.
Botnet Chaos sẽ khai thác các lỗ hổng đã biết nhưng chưa được vá trong các thiết bị tường lửa để chiếm quyền truy cập ban đầu trong mạng, sau đó tiến hành do thám và bắt đầu xâm nhập vào các máy ngang hàng trong hệ thống mạng bị xâm nhập. Hơn nữa, Chaos có tính linh hoạt mà một số mã độc tương tự không có, cho phép chúng hoạt động trên nhiều loại kiến trúc tập lệnh từ ARM, Intel (i386), MIPS và PowerPC, cho phép tin tặc mở rộng phạm vi mục tiêu một cách hiệu quả và nhanh chóng gia tăng số lượng.
Trên hết, Chaos còn có khả năng thực hiện tới 70 lệnh khác nhau được gửi từ máy chủ C2, một trong số đó là lệnh để kích hoạt việc khai thác các lỗ hổng được tiết lộ công khai (CVE-2017-17215 và CVE-2022- 30525). Dựa trên việc phân tích khoảng 100 mẫu được phát hiện trong thời gian gần đây, các nhà nghiên cứu đánh giá Chaos là phiên bản tiếp theo của một dòng mã độc dựa trên Go khác có tên là Kaiji - mã độc nhắm mục tiêu vào các phiên bản Docker. Các mối tương quan giữa 2 mã độc này đều bắt nguồn từ sự trùng lặp giữa mã và hàm chức năng, giúp nó có thể chạy các lệnh tùy ý trên thiết bị của nạn nhân.
Sự phát triển của mã độc Chaos
Đầu tháng 9/2022, một máy chủ GitLab đặt tại châu Âu là một trong những nạn nhân của mã độc Chaos. Đồng thời, các nhà nghiên cứu cũng đã xác định được một chuỗi các cuộc tấn công DDoS nhằm vào các trò chơi, dịch vụ tài chính, công nghệ, truyền thông, giải trí, các nhà cung cấp dịch vụ lưu trữ và sàn giao dịch khai thác tiền điện tử. Các phát hiện này được đưa ra đúng 3 tháng sau sự xuất hiện của một trojan truy cập từ xa có tên là ZuoRAT, đã sử dụng các bộ định tuyến SOHO như một phần của chiến dịch nhắm vào các mạng ở khu vực Bắc Mỹ và châu Âu.
Black Lotus Labs cho biết họ đã vô hiệu hóa tất cả các máy chủ C2 của Chaos để chặn chúng gửi hoặc nhận dữ liệu đến các thiết bị bị nhiễm. Các nhà nghiên cứu khuyến nghị nên theo dõi các trường hợp lây nhiễm của Chaos và các kết nối đến các máy chủ đáng ngờ bằng cách sử dụng các chỉ báo về sự xâm phạm được chia sẻ trên GitHub. Bên cạnh đó, người dùng cũng nên thường xuyên cập nhật các bản vá bảo mật cho hệ thống càng sớm càng tốt và thay đổi mật khẩu mặc định trên tất cả các thiết bị.
Đinh Hồng Đạt
14:00 | 05/10/2022
09:00 | 08/06/2023
14:00 | 30/09/2022
16:00 | 09/11/2022
14:00 | 18/11/2022
09:00 | 13/07/2023
11:00 | 21/03/2023
15:00 | 25/07/2023
13:00 | 22/09/2022
13:00 | 11/07/2023
09:00 | 22/04/2022
18:00 | 22/09/2023
FortiGuard Labs mới đây vừa công bố Báo cáo toàn cảnh các mối đe dọa an ninh mạng toàn cầu trong nửa đầu năm 2023. Đáng chú ý, các nhà nghiên cứu đã quan sát thấy sự sụt giảm đáng kể số lượng các tổ chức phát hiện phần mềm tống tiền. Điều đó cho thấy tấn công bằng mã độc tống tiền ngày càng tinh vi hơn, khó phát hiện hơn, trong khi tần suất và tác động của các cuộc tấn công có chủ đích vẫn tiếp tục gia tăng.
10:00 | 12/09/2023
Mới đây, công ty phần mềm Netskope (Mỹ) đã đưa ra một báo cáo cho thấy, mã nguồn được đẩy vào ChatGPT nhiều hơn bất kỳ loại dữ liệu nhạy cảm nào, với tỷ lệ 158 sự cố trên 10 nghìn người dùng mỗi tháng.
14:00 | 17/08/2023
Danh sách các tệp LOLBAS (Living Off The Land Binaries and Scripts) - các tệp nhị phân và tập lệnh hợp pháp có trong Windows có thể bị lợi dụng cho các hành vi độc hại, bao gồm các tệp thực thi của ứng dụng Outlook và Access.
10:00 | 07/07/2023
Ngày 5/7, Tập đoàn Đường sắt Nga (RZD) thông báo trên kênh Telegram rằng hệ thống trang web và ứng dụng di động của họ đã tạm thời bị gián đoạn ít nhất sáu giờ sau một cuộc tấn công mạng diễn ra trên quy mô lớn, được thực hiện bởi các tin tặc đến từ Ukraine, dẫn đến việc hành khách chỉ có thể mua vé trực tiếp tại các nhà ga.
14:00 | 14/08/2023 | Giải pháp khác
12:00 | 14/08/2023 | Công nghệ thông tin
17:00 | 11/08/2023|GP ATM
10:00 | 10/08/2023|Chính sách - Chiến lược
11:00 | 29/07/2023|Mật mã dân sự
16:00 | 09/11/2022|Tin tức sản phẩm
VMware Aria Operations for Networks là một công cụ giám sát, khám phá và phân tích mạng cũng như ứng dụng để xây dựng cơ sở hạ tầng mạng an toàn trên nền tảng điện toán đám mây cho các doanh nghiệp. Mới đây, mã khai thác PoC cho một lỗ hổng nghiêm trọng ảnh hưởng đến VMware Aria Operations for Networks đã được công bố. Hiện hãng đã phát hành các bản sửa lỗi cho lỗ hổng.
15:00 | 20/09/2023
