Kaos adı verilen hızla genişleyen bir botnet, Windows ve Linux cihazlarını şifrelemek ve DDoS saldırıları başlatmak için kullanmak üzere hedefliyor ve bu cihazlara bulaşıyor.
Bu Go tabanlı kötü amaçlı yazılım, küçük ofis/ev ofis yönlendiricilerinden ve kurumsal sunuculardan çok çeşitli cihazlar tarafından kullanılan x86, x86-64, AMD64, MIPS, MIPS64, ARMv5-ARMv8, AArch64 ve PowerPC dahil olmak üzere çeşitli mimarilere de bulaşabilir. .
Esas olarak çeşitli güvenlik açıklarına ve SSH kaba zorlamalarına karşı yama uygulanmamış cihazlara saldırarak yayılıyor olsa da, Kaos ayrıca daha fazla cihazı ele geçirmek için çalınan SSH anahtarlarını kullanacaktır.
Ayrıca, saldırganların daha fazla istismar için herhangi bir zamanda yeniden bağlanmasına izin verecek bir ters kabuk kurarak, ele geçirilen cihazların arka kapılarını açar.
Lumen’deki Black Lotus Labs’teki güvenlik araştırmacıları Danny Adamitis, Steve Rudd ve Stephanie Walkenshaw, vahşi doğada keşfedilen yaklaşık 100 örneği analiz ederken, Kaos’un Çince yazıldığını ve Çin merkezli komuta ve kontrol (C2) altyapısını kullandığını buldu.
Ayrıca, botnet’in geniş bir sektör yelpazesini hedeflediğini ve ilk görüldüğü Nisan ayından bu yana katlanarak büyüdüğünü buldular.
“Lümen küresel ağ görünürlüğünü kullanan Black Lotus Labs, bir GitLab sunucusunun başarılı bir şekilde ele geçirilmesi ve oyun, finansal hizmetler ve teknoloji ile medya ve eğlence sektörlerini hedef alan bir dizi son DDoS saldırısı da dahil olmak üzere birkaç farklı Kaos kümesinin C2’lerini ve hedeflerini sıraladı. – hizmet olarak DDoS sağlayıcıları ve bir kripto para birimi değişiminin yanı sıra, “araştırmacılar söz konusu.
“Bugünün botnet altyapısı, önde gelen DDoS kötü amaçlı yazılım ailelerinden bazılarına göre nispeten daha küçük olsa da, Chaos son birkaç ayda hızlı bir büyüme gösterdi.”
Botnet bir cihazı başarılı bir şekilde ele geçirdikten sonra, kalıcılık oluşturacak ve kötü amaçlı yazılımın daha fazla yayılmasını, kripto para birimi madenciliğini başlatmasını veya bir DDoS saldırısı başlatmasını isteyen evreleme komutlarını geri gönderen C2 sunucusuna ulaşacaktır.
Black Lotus Labs araştırmacıları, bazı botların sadece birkaç gün içinde düzinelerce komut aldığını (bazı durumlarda 70’den fazla) gördüğünü ekledi.
Botnet, Avrupa hedeflerine odaklanıyor, ancak botlar, Amerika ve Asya Pasifik’teki sıcak noktalarla neredeyse her yere yayılıyor. Tek istisna, şu ana kadar hiçbir Kaos botunun tespit edilmediği Avustralya ve Yeni Zelanda’dır.
Kaos, olarak bilinen başka bir botnet’in yapı taşlarını ve yeteneklerini kullanıyor gibi görünüyor. Kaijiayrıca kripto madenciliği yapabilen, DDoS saldırıları başlatabilen ve virüslü cihazlarda ters kabuklar oluşturabilen bir kötü amaçlı yazılım.
“Bu rapor için analiz ettiğimiz 100’den fazla örnek içindeki işlevlere ilişkin analizimize dayanarak, Kaos’un Kaiji botnet’in bir sonraki yinelemesi olduğunu değerlendiriyoruz” diye eklediler.
“Kaiji ilk olarak 2020’de keşfedildi ve yeni botlara bulaşmak ve ardından DDoS saldırıları başlatmak için SSH kaba zorlamasından yararlanarak Linux tabanlı AMD ve i386 sunucularını hedef aldı.”
Black Lotus Labs, Lumen’in küresel omurgasındaki tüm Chaos C2 sunucularını, virüslü cihazlardan veri göndermelerini veya almalarını engellemek için boş yönlendirdiğini söylüyor.
Ağ savunucularının, tehlike göstergelerini kullanarak Kaos bulaşmalarını ve şüpheli sunuculara olan bağlantıları izlemeleri önerilir. GitHub’da paylaşıldı ve sistemlerini yeni açıklanan güvenlik açıklarına karşı yamalanmış halde tutmak için kötü amaçlı yazılım hedeflemeye başlayabilir.
Uzak çalışanlar ve yönlendirici sahipleri, güvenlik güncellemelerini ve yamaları mümkün olan en kısa sürede yüklemeli ve tüm cihazlarında varsayılan şifreleri değiştirmelidir.
Go-tabanlı kötü amaçlı yazılıma geçiş son birkaç yıldır sürerken, Kaos’un genişliğini, bulaştırmak için tasarlandığı çok çeşitli mimariler ve işletim sistemleri açısından gösteren az sayıda tür var.”
“Yalnızca kurumsal ve büyük kuruluşları değil, aynı zamanda SOHO yönlendiricileri ve FreeBSD OS gibi kurumsal güvenlik modelinin bir parçası olarak rutin olarak izlenmeyen cihazları ve sistemleri de hedef alıyor.
“Ve selefinden önemli bir evrimle, Kaos, vahşi doğada ilk belgelenmiş kanıtından bu yana hızlı bir büyüme elde ediyor.”