Pemburu ancaman meminta perhatian pada varian baru dari Trojan akses jarak jauh (tikus) yang disebut Rat Chaos Itu telah digunakan dalam serangan terbaru yang menargetkan sistem Windows dan Linux.
Menurut temuan dari Acronis, artefak malware mungkin telah didistribusikan dengan menipu para korban untuk mengunduh utilitas pemecahan masalah jaringan untuk lingkungan Linux.
“Chaos Rat adalah tikus open-source yang ditulis di Golang, menawarkan dukungan lintas platform untuk sistem Windows dan Linux,” peneliti keamanan Santiago Pontiroli, Gabor Molnar, dan Kirill Antonenko mengatakan dalam sebuah laporan yang dibagikan kepada Hacker News.
“Terinspirasi oleh kerangka kerja populer seperti Cobalt Strike dan Sliver, Chaos Rat menyediakan panel administratif di mana pengguna dapat membangun muatan, membangun sesi, dan mengontrol mesin yang dikompromikan.”
Sementara bekerja pada “alat administrasi jarak jauh” dimulai pada tahun 2017, itu tidak menarik perhatian sampai Desember 2022, ketika digunakan dalam kampanye berbahaya yang menargetkan aplikasi web yang menghadap publik yang di-host pada sistem Linux dengan penambang cryptocurrency XMRIG.
Setelah diinstal, malware terhubung ke server eksternal dan menunggu perintah yang memungkinkannya meluncurkan shell terbalik, mengunggah/mengunduh/menghapus file, menyebutkan file dan direktori, mengambil tangkapan layar, mengumpulkan informasi sistem, mengunci/memulai kembali/mematikan mesin, dan membuka URL sewenang -wenang. Versi terbaru dari Chaos Rat adalah 5.0.3, yang dirilis pada 31 Mei 2024.
Acronis mengatakan bahwa varian Linux dari malware telah terdeteksi di alam liar, seringkali sehubungan dengan kampanye penambangan cryptocurrency. Rantai serangan yang diamati oleh perusahaan menunjukkan bahwa Chaos Rat didistribusikan kepada para korban melalui email phishing yang berisi tautan atau lampiran berbahaya.
Artefak ini dirancang untuk menjatuhkan skrip jahat yang dapat memodifikasi penjadwal tugas “/etc/crontab” untuk mengambil malware secara berkala sebagai cara mengatur kegigihan.
“Kampanye awal menggunakan teknik ini untuk memberikan penambang cryptocurrency dan Chaos Rat secara terpisah, menunjukkan bahwa kekacauan terutama digunakan untuk pengintaian dan pengumpulan informasi pada perangkat yang dikompromikan,” kata para peneliti.
Analisis sampel terbaru yang diunggah ke Virustotal pada Januari 2025 dari India dengan nama “NetworkAnalyzer.tar.gz,” telah meningkatkan kemungkinan bahwa pengguna ditipu untuk mengunduh malware dengan menyamar sebagai utilitas pemecahan masalah jaringan untuk lingkungan Linux.
Selain itu, panel admin yang memungkinkan pengguna untuk membangun muatan dan mengelola mesin yang terinfeksi telah ditemukan rentan terhadap kerentanan injeksi perintah (CVE-2024-30850, skor CVSS: 8,8) yang dapat dikombinasikan dengan skor scripting cross-site (CVE-2024-31839, CVSS skor. Kedua kerentanan tersebut telah ditangani oleh pengelola Chaos Rat pada Mei 2024.
Meskipun saat ini tidak jelas siapa yang berada di balik penggunaan Chaos Rat dalam serangan dunia nyata, pengembangan sekali lagi menggambarkan bagaimana para aktor ancaman terus mempersenjatai alat-alat sumber terbuka untuk keuntungan mereka dan membingungkan upaya atribusi.
“Apa yang dimulai sebagai alat pengembang dapat dengan cepat menjadi instrumen pilihan aktor ancaman,” kata para peneliti. “Menggunakan malware yang tersedia untuk umum membantu kelompok-kelompok APT berbaur dengan kebisingan kejahatan dunia maya sehari-hari. Malware open-source menawarkan toolkit 'cukup baik' yang dapat dengan cepat disesuaikan dan digunakan. Ketika beberapa aktor menggunakan malware open-source yang sama, itu mengacaukan air atribusi.”
Pengungkapan ini bertepatan dengan munculnya kampanye baru yang menargetkan pengguna dompet kepercayaan pada desktop dengan versi palsu yang didistribusikan melalui tautan unduhan yang menipu, email phishing, atau perangkat lunak yang dibundel dengan tujuan memanen kredensial browser, mengekstraksi data dari desktop dan peramban eksekutasi, dan eksekutasi ordensial, dan order executing, dan peramban yang berbasis di desktop.
“Setelah diinstal, malware dapat memindai file dompet, mencegat data papan klip, atau memantau sesi browser untuk menangkap frasa benih atau kunci pribadi,” kata peneliti Point Wild, Kedar S Pandit dalam sebuah laporan yang diterbitkan minggu ini.
