发现新的 Chaos RAT 变种

执行摘要

Chaos RAT 是一种开源远程管理工具 (RAT)，于 2022 年首次被发现，现已发现其新变种。新变种通过复杂的网络钓鱼活动攻击 Windows 和 Linux 系统。这种不断发展的恶意软件会部署挖矿程序、窃取敏感数据并对受感染设备建立持久控制。

关键要点

• Chaos RAT 已经从一个开源工具演变为针对 Windows 和 Linux 平台的多功能恶意软件。

• 该恶意软件通过带有恶意 PDF 的网络钓鱼电子邮件进行传播，从而启动多阶段感染链。

• 它采用先进的混淆和反分析技术来逃避检测。

• 其功能包括加密货币挖掘、数据盗窃和完全设备控制，对受影响的系统构成重大风险。

什么是 Chaos RAT？

Acronis 威胁研究部门 发现了 Chaos RAT 的新变种。Chaos RAT 是一种远程管理工具 (RAT)，已从一个开源项目转变为一个强大的恶意软件威胁。Chaos RAT 最初记录于 2022 年，现已发生重大演变，最近的攻击活动针对 Windows 和 Linux 系统。该恶意软件主要用 C++ 编写，利用复杂的感染链入侵系统、窃取数据并部署未经授权的加密货币挖矿程序，对组织和个人都构成重大风险。

Chaos RAT 主要通过包含恶意 PDF 附件的网络钓鱼邮件进行传播。这些 PDF 文件利用用户交互，诱使受害者点击嵌入的链接，从而启动恶意负载的下载。在 Windows 系统上，感染始于一个 JavaScript 文件，该文件会获取包含 BAT 脚本的 ZIP 压缩包。该脚本会执行一系列命令来下载并运行最终的 Chaos RAT 负载，并通过计划任务和注册表修改建立持久性。在 Linux 系统上，该恶意软件会伪装成合法的网络诊断工具（例如“NetworkCheck”）来欺骗用户。它使用 Shell 脚本来检索和执行 RAT，通常使用混淆的 URL 和加密的负载来绕过安全控制。

Chaos RAT 的技术复杂性体现在其多阶段传播和反分析技术上。该恶意软件使用复杂的混淆技术，包括编码字符串和动态 API 解析，以阻止逆向工程。它还实施了检查以检测虚拟化环境和沙盒，确保其仅在有利条件下执行。一旦部署，Chaos RAT 便可赋予攻击者对受感染系统的广泛控制权。其功能包括键盘记录、屏幕截图、文件泄露和远程命令执行。此外，它还部署了加密货币挖矿模块，利用系统资源获取非法利润，同时降低系统性能。

虽然没有具体说明目标垂直行业或地理区域，但针对 Windows 和 Linux 双平台的攻击表明其攻击面广泛，可能影响到各个行业。其开源特性促进了威胁行为者的快速迭代，自诞生以来，他们不断增强其功能集和规避策略。PolySwarm 分析师认为 Chaos RAT 是一种不断演变的威胁。 

PolySwarm 有多个 Chaos RAT 样本。

1e074d9dca6ef0edd24afb2d13ca4429def5fc5486cd4170c989ef60efd0bbb0

77962a384d251f0aa8e3008a88f206d6cb1f7401c759c4614e3bfe865e3e985c

44c54d9d0b8d4862ad7424c677a6645edb711a6d0f36d6e87d7bae7a2cb14d68

c9694483c9fc15b2649359dfbd8322f0f6dd7a0a7da75499e03dbc4de2b23cad

080f56cea7acfd9c20fc931e53ea1225eb6b00cf2f05a76943e6cf0770504c64

a583bdf46f901364ed8e60f6aadd2b31be12a27ffccecc962872bc73a9ffd46c

a364ec51aa9314f831bc498ddaf82738766ca83b51401f77dbd857ba4e32a53b

a6307aad70195369e7ca5575f1ab81c2fd82de2fe561179e38933f9da28c4850

c39184aeb42616d7bf6daaddb9792549eb354076b4559e5d85392ade2e41763e

719082b1e5c0d18cc0283e537215b53a864857ac936a0c7d3ddbaf7c7944cf79