一种从未见过的恶意软件感染了成百上千的Linux和Windows设备 _恶意软件

文章插图

研究人员近日披露了一种从未见过的跨平台恶意软件，这种恶意软件已经感染了一系列广泛的linux和windows设备，包括小型办公室路由器、FreeBSD设备和大型企业服务器。
安全公司Lumen的研究部门Black Lotus Labs（黑莲花实验室）称该恶意软件为Chaos ，这个名称在恶意软件使用的函数名、证书和文件名中一再出现。直到4月16日当第一批控制服务器投入实际使用时， Chaos才浮出水面。从6月到7月中旬，研究人员发现了数百个独特的IP地址，这些IP地址代表受Chaos攻击的设备。最近几个月，用于感染新设备的登台（staging）服务器如雨后春笋般涌现，从5月的39台增加到8月的93台。截至周二，这个数字已达到了111台。
Black Lotus观察到了企业服务器和嵌入式Linux设备与这些登台服务器的交互，包括欧洲的一台托管GitLab实例的企业服务器。外面的独特样本数量超过100个。
Black Lotus Labs的研究人员在周三上午的一篇博文中写道， Chaos恶意软件的威力源于几个因素。首先，它被设计成可以在多个架构上运行，除了Windows和Linux操作系统外，还包括ARM、英特尔（i386）、MIPS和PowerPC 。其次，与Emotet等利用垃圾邮件来传播和蔓延的大规模勒索软件传播僵尸网络不同， Chaos通过已知的CVE以及蛮力破解的密码和窃取的SSH密钥来传播。
CVE指用于跟踪特定漏洞的机制。周三的报告只提到了少数几个CVE漏洞，包括影响华为销售的防火墙的CVE-2017-17215和CVE-2022-30525 ，以及F5销售的负载均衡系统、防火墙和网络检测设备中极其严重的CVE-2022-1388漏洞。使用密码蛮力破解和窃取密钥的SSH感染也让Chaos可以在受感染网络内从一台计算机传播到另一台计算机。
Chaos还有众多功能，包括枚举连接到受感染网络的所有设备，运行让攻击者可以执行命令的远程shell ，以及加载额外的模块。Black Lotus Labs的研究人员表示，加上能够在如此广泛的设备上运行，这些功能让该公司怀疑Chaos是网络犯罪分子的杰作，他们在蓄意构建一个受感染设备组成的网络，利用它进行初始访问、DDoS攻击和挖掘加密货币。
Black Lotus Labs认为Chaos是Kaiji的一个分支， Kaiji是一种僵尸网络软件，面向基于Linux的AMD和i386服务器，用于发动DDoS攻击。自渐成气候以来， Chaos已获得了大批新功能，包括针对新架构的模块、在Windows上运行的功能以及通过漏洞利用和SSH密钥收集进行传播的能力。
受感染的IP地址表明， Chaos感染主要集中在欧洲，北美、南美和亚太地区也有感染现象。

文章插图
图1
Black Lotus Labs的研究人员写道：
在9月的前几周，我们的Chaos主机模拟系统收到了多个针对大约20多家组织的域名或IP的DDoS命令。我们使用自己的全球遥测数据，从我们收到的攻击命令发现了多起时间范围、IP和端口相一致的DDoS攻击。攻击类型通常是跨多个端口利用UDP和TCP/SYN的多途径攻击，攻击流量常常在数日内增加。攻击的实体包括游戏、金融服务、技术、媒体、娱乐以及托管等行业的组织。我们甚至观察到针对DDoS即服务提供商和加密货币挖掘交易所的攻击。总的来说，这些目标遍布欧洲中东非洲、亚太和北美。
一家游戏公司通过端口30120受到了UDP、TCP和SYN混合攻击。从9月1日到9月5日，该组织收到的流量超过了正常流量。分析攻击之前和整个攻击期间的流量后发现，潮水般的流量通过大约12000个不同的IP发送到端口30120 ，不过部分流量可能表明存在IP欺骗。