Un malware basado en Go con muchas características nuevas llamado Chaos ha crecido rápidamente en los últimos meses para atraer una variedad de Windows, Linux, enrutadores domésticos/de pequeña oficina (SOHO) y servidores empresariales a su red de bots.

"La funcionalidad Chaos incluye la capacidad de enumerar el entorno del host, ejecutar comandos de shell remotos, cargar módulos adicionales, propagarse automáticamente mediante el robo y la fuerza bruta de claves privadas SSH, así como lanzar ataques DDoS"

La mayoría de los bots están ubicados en Europa, específicamente en Italia, y otras infecciones reportadas en China y EE. UU. generan "cientos de direcciones IP únicas" en un mes desde mediados de junio hasta mediados de julio de 2022. Escrito en chino y utilizando la infraestructura de comando y control de China, el botnet participa en una larga lista de programas maliciosos diseñados para resistir a largo plazo y potencialmente usar cabezas de puente para propósitos nefastos como ataques DDoS y minería de criptomonedas.

En todo caso, el desarrollo también muestra un aumento dramático en el número de ciberdelincuentes que recurren a lenguajes de programación como Go para evitar la detección y obstaculizar la ingeniería inversa, sin mencionar que apuntan a múltiples plataformas al mismo tiempo.

Chaos (que no debe confundirse con el generador de ransomware del mismo nombre) hace honor a su nombre, utiliza vulnerabilidades conocidas para obtener acceso inicial y luego abusa de él para realizar la identificación y comenzar a ahorrar tráfico en la red comprometida.

Además, este malware tiene una flexibilidad que no tiene un malware similar, lo que le permite trabajar con una amplia variedad de arquitecturas de conjunto de instrucciones de ARM, Intel (i386), MIPS y PowerPC, lo que permite que el actor de amenazas amplíe su rango de objetivos. . y están creciendo rápidamente.

Además, Chaos es capaz de ejecutar hasta 70 comandos diferentes enviados desde el servidor C2, uno de los cuales es un comando que activa una vulnerabilidad divulgada públicamente (CVE-2017-17215 y CVE-2022-30525). En el archivo. Un análisis de alrededor de 100 muestras encontradas en la naturaleza es la evidencia más temprana de actividad de botnet a partir de abril de 2022. Desde entonces, el malware no solo se ha dirigido a servidores corporativos y de grandes organizaciones, sino también a dispositivos que no se supervisan regularmente, como enrutadores y sistemas SOHO que ejecutan FreeBSD.

También se cree que Chaos es el desarrollo de otro malware DDoS basado en Go llamado Kaiji, que anteriormente se dirigía a instancias de Docker mal configuradas. Según expertos, las correlaciones están relacionadas con la superposición de código y funcionalidad, incluido un módulo de shell inverso que permite ejecutar cualquier comando en un dispositivo infectado.

El servidor GitLab ubicado en Europa se convirtió en una de las víctimas de la botnet Chaos en las primeras semanas de septiembre. y proveedores de alojamiento. También está registrado en el intercambio de minería de criptomonedas.

El descubrimiento se produce exactamente tres meses después de que una empresa de ciberseguridad descubriera un nuevo troyano de acceso remoto llamado ZuoRAT que se dirige a los enrutadores SOHO como parte de una sofisticada campaña contra las redes de América del Norte y Europa.