Lumen の Black Lotus Lab が報告しているように、Chaos マルウェアは、ARM、Intel (i386)、MIPS、PowerPC などのさまざまなアーキテクチャで動作し、Windows と Linux の両方のオペレーティング システム用に書かれており、DDoS サービス、暗号通貨マイニング、バックドア機能を提供します。
このマルウェアはGoプログラミング言語で完全に記述されており、開発者はソフトウェアを様々なOSに容易に移植できます。マルウェアコードを一度記述するだけで、複数のプラットフォーム向けにバイナリをコンパイルできます。セキュリティ研究者にとって解析が困難であるため、Goで記述されたマルウェアはますます多く発見されるようになっています。
Chaosマルウェアのできること
Chaosは複数のプラットフォームで動作することに加え、既知の脆弱性を悪用し、SSHをブルートフォース攻撃するように設計されています。Lumenの研究者は、コードと機能の重複に基づき、ChaosはDDoSマルウェアKaijiの進化型であると評価しています。
参照: モバイルデバイスのセキュリティポリシー (TechRepublic Premium)
システム上で実行されると、マルウェアは永続性を確立し、コマンド&コントロールサーバーと通信します。サーバーは、異なる目的で使用される1つ以上のステージングコマンドを応答し、その後、さらなるコマンドや追加モジュールを受信する可能性があります(図A)。
図A
C2への通信は、デバイスのMACアドレスによって決定されるUDPポートで確立されます。C2に送信される最初のメッセージは、「online」という単語1つと、ポート番号、Microsoft Windowsのバージョン、アーキテクチャ情報で構成されます。
興味深いことに、Windowsのバージョン判定に失敗した場合、マルウェアは「windwos 未知」(中国語で「不明」を意味する)を送信します。また、感染デバイスごとにポート番号も変更されるため、ネットワーク検出が困難になります。
Linuxシステムでは、マルウェアはオペレーティングシステムを送信しますが、アーキテクチャ情報は送信しません。失敗した場合は、「GET失敗」を意味する中国語のメッセージを送信します。
接続が正常に確立されると、C2 は次のようなステージング コマンドを送信します。
- セキュアシェルプロトコルによる自動伝播。ホストから盗んだキー、ブルートフォース、またはダウンロードしたパスワードファイルを使用して、他のマシンを侵害します。
- 他のコマンドで使用されるC2サーバー上の追加ファイル(password.txt、download.sh、cve.txt)にアクセスするための新しいポートを設定する
- Linuxシステム上のIPアドレスを偽装し、DDoS攻撃中にネットワークパケットのヘッダーを変更して、別のマシンから攻撃が行われたように見せかける
- 様々な既知の脆弱性を悪用する
C2 サーバーとの最初の通信が完了すると、マルウェアは、ターゲット範囲で事前に決定された脆弱性を悪用して拡散を実行したり、DDoS 攻撃を開始したり、暗号通貨のマイニングを開始したりするなどの追加のコマンドを散発的に受信します。
このマルウェアは攻撃者にリバースシェルを提供することもできます。これにより、攻撃者は感染したシステムでさらに多くのコマンドを実行できるようになります。
混乱が急速に広がるにつれ、懸念が高まる
LumenのBlack Lotus Labsのテレメトリによると、このマルウェアは急速に拡散しています。6月中旬から7月中旬にかけて、ヨーロッパ、東アジア、南北アメリカ大陸で、Chaosマルウェアを実行している侵害マシンを表す数百の固有IPアドレスが出現しました(図B)。
図B
C2サーバーの数も増加しています。研究者たちは、発行元として「Chaos」という単語を含む自己署名SSL証明書に基づいてC2サーバーを追跡することができました。当初はC2サーバーのインスタンスは15個しか見つからず、最も古いものは2022年4月16日に生成されましたが、9月27日時点では111個の異なるサーバーにまで達し、そのほとんどがヨーロッパでホストされています。
C2 サーバーとのやり取りは、組み込み Linux デバイスとエンタープライズ サーバーから行われました。
マルウェアの目的は何ですか?
Chaosマルウェアは、複数の異なるタスクを実行するために開発されました。特定のターゲットに対してDDoS攻撃を開始し、それらの攻撃が複数のホストから行われているように見せかけることができます。数百台の感染マシンが1つのターゲットへの攻撃を開始するよう命令を受け取れば、インターネット活動を妨害したり、速度を低下させたりすることに成功する可能性があります。
Lumen は、ゲーム、金融サービスおよびテクノロジー、メディアおよびエンターテインメント、ホスティング企業に関わる組織が標的にされていることを確認しましたが、暗号通貨マイニング取引所や DDoS サービス プロバイダーも標的にされていました。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
Chaosマルウェアは、暗号通貨マイナーをドロップし、感染したコンピュータをマイニングに利用することも可能です。研究者たちは、Monero暗号通貨マイナーと動作可能な設定ファイルのダウンロードを観察しました。実行されると、ペイロードはマシンの処理能力を利用してMonero暗号通貨を生成します。
さらに、Chaosは、攻撃者が様々な一般的な脆弱性を悪用して他のコンピュータに拡散することも可能とし、攻撃者にリバースシェルを提供します。これらの活動はいずれもサイバースパイ活動を目的としているようには見えません。このマルウェアは、金銭目的のみに使用されているようです。
セキュリティ専門家はどのようにしてこの脅威から組織を保護できるでしょうか?
最初の感染ベクトルは不明ですが、このようなマルウェアの感染の主な 2 つのベクトルである電子メールまたはブラウジングから発生する可能性があります。
すべてのオペレーティングシステム、デバイス、ソフトウェアを最新の状態に更新し、パッチを適用することを強くお勧めします。Chaosマルウェアは一般的な脆弱性を悪用することがあり、パッチを完全に適用することで、ネットワーク内でのマルウェアの拡散を防ぐことができます。
また、マルウェアが起動される前に検出できるよう、エンドポイント検出・対応などのセキュリティツールを導入することも推奨されます。SSHキーは、それを必要とするデバイスにのみ安全に保管し、必要のないマシンではリモートルートアクセスを禁止する必要があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
