Chaos RAT恶意软件通过虚假的网络工具下载来攻击Windows和Linux

根据Acronis的调查结果，恶意软件可能是通过诱骗受害者下载Linux环境的网络故障排除实用程序来传播的。

安全研究人员Santiago Pontiroli、Gabor Molnar和Kirill Antonenko在与The Hacker News分享的一份报告中表示：“Chaos RAT是一个用Golang编写的开源RAT，为Windows和Linux系统提供跨平台支持。”

“受到Cobalt Strike和silver等流行框架的启发，Chaos RAT提供了一个管理面板，用户可以在其中构建有效负载、建立会话和控制受感染的机器。”

虽然“远程管理工具”的工作早在2017年就开始了，但直到2022年12月，它才引起人们的注意，当时它被用于针对Linux系统上托管的面向公众的web应用程序的恶意活动，该应用程序使用XMRig加密货币挖矿器。

安装后，恶意软件连接到外部服务器并等待命令，这些命令允许它启动反向shell，上传/下载/删除文件，枚举文件和目录，截取屏幕截图，收集系统信息，锁定/重启/关闭机器，以及打开任意url。Chaos RAT的最新版本是5.0.3，于2024年5月31日发布。

Acronis表示，该恶意软件的Linux变体已经在野外被检测到，通常与加密货币挖矿活动有关。该公司观察到的攻击链表明，Chaos RAT通过包含恶意链接或附件的网络钓鱼电子邮件分发给受害者。

这些工件被设计用来删除一个恶意脚本，该脚本可以修改任务调度器“/etc/crontab”，以定期获取恶意软件，作为设置持久性的一种方式。

研究人员表示：“早期的攻击活动使用这种技术分别发送加密货币矿工和Chaos RAT，这表明Chaos主要用于在受损设备上进行侦察和信息收集。”

对2025年1月从印度上传到VirusTotal的一个名为“NetworkAnalyzer.tar.gz”的样本进行的分析表明，用户可能被欺骗下载恶意软件，将其伪装成Linux环境下的网络故障排除实用程序。

此外，允许用户构建有效负载和管理受感染机器的管理面板已被发现容易受到命令注入漏洞（CVE-2024-30850， CVSS分数：8.8）的影响，该漏洞可能与跨站点脚本漏洞（CVE-2024-31839， CVSS分数：4.8）相结合，以提高权限在服务器上执行任意代码。到2024年5月，Chaos RAT的维护者已经解决了这两个漏洞。

虽然目前还不清楚是谁在真实世界的攻击中使用了Chaos RAT，但这一发展再次说明了威胁行为者如何继续将开源工具武器化，并混淆归因工作。

研究人员说：“一开始作为开发人员的工具，很快就会成为威胁行为者的首选工具。”“使用公开可用的恶意软件有助于APT组织融入日常网络犯罪的喧嚣中。开源恶意软件提供了一个“足够好”的工具包，可以快速定制和部署。当多个参与者使用相同的开源恶意软件时，它会混淆归属。”

与此同时，一场针对桌面版Trust Wallet用户的新活动也出现了，该活动通过欺骗性下载链接、网络钓鱼邮件或捆绑软件分发假冒版本，目的是收集浏览器凭证，从桌面钱包和浏览器扩展中提取数据，执行命令，并充当clipper恶意软件。

Point Wild研究员Kedar S Pandit在本周发布的一份报告中表示：“一旦安装，恶意软件就可以扫描钱包文件，拦截剪贴板数据，或监控浏览器会话以获取种子短语或私钥。”

原文始发于微信公众号（HackSee黑望）：Chaos RAT恶意软件通过虚假的网络工具下载来攻击Windows和Linux