Investigadores advierten sobre nuevo malware basado en Go dirigido a sistemas Windows y Linux

Un nuevo malware multifuncional basado en Go, denominado Chaos, ha crecido rápidamente en volumen en los últimos meses para atrapar una amplia gama de Windows, Linux, enrutadores de oficinas pequeñas/hogares (SOHO) y servidores empresariales en su red de bots. “La funcionalidad Chaos incluye la capacidad de enumerar el entorno del host, ejecutar comandos de shell […]

Un nuevo malware multifuncional basado en Go, denominado Chaos, ha crecido rápidamente en volumen en los últimos meses para atrapar una amplia gama de Windows, Linux, enrutadores de oficinas pequeñas/hogares (SOHO) y servidores empresariales en su red de bots.

“La funcionalidad Chaos incluye la capacidad de enumerar el entorno del host, ejecutar comandos de shell remotos, cargar módulos adicionales, propagarse automáticamente mediante el robo y la fuerza bruta de claves privadas SSH, así como lanzar ataques DDoS”, anunciaron los investigadores de Black Lotus Labs en un comunicado.

La mayoría de los bots están ubicados en Europa, específicamente en Italia, con otras infecciones reportadas en China y Estados Unidos, que representan colectivamente “cientos de direcciones IP únicas” durante un período de un mes desde mediados de junio hasta mediados de julio de 2022.

Escrito en chino y aprovechando la infraestructura basada en China para comando y control, la botnet se une a una larga lista de malware que está diseñado para establecer la persistencia durante períodos prolongados y probablemente abusar del punto de apoyo para fines nefastos, como ataques DDoS y minería de criptomonedas.

El desarrollo también apunta a un aumento dramático en los actores de amenazas que cambian a lenguajes de programación como Go para evadir la detección y dificultar la ingeniería inversa, sin mencionar que apuntan a varias plataformas a la vez.

Chaos (que no debe confundirse con el generador de ransomware del mismo nombre) hace honor a su nombre al explotar las vulnerabilidades de seguridad conocidas para obtener acceso inicial, y luego abusar de él para realizar un reconocimiento e iniciar un movimiento lateral a través de la red comprometida.

Además, el malware tiene una versatilidad que no tienen sus símiles, lo que le permite operar en una amplia gama de arquitecturas de conjuntos de instrucciones de ARM, Intel (i386), MIPS y PowerPC, ampliando el alcance de los actores de amenazas.

Además de eso, Chaos también tiene la capacidad de ejecutar hasta 70 comandos diferentes enviados desde el servidor C2, uno de los cuales es una instrucción para activar la explotación de fallas divulgadas públicamente (CVE-2017-17215 y CVE-2022- 30525) definido en un archivo.

Un análisis de alrededor de 100 muestras descubiertas en la naturaleza data la evidencia más temprana de la actividad de la botnet en abril de 2022. Desde entonces, se ha observado que el malware se dirige no solo a servidores empresariales y grandes organizaciones, sino también a dispositivos que no se monitorean regularmente, como enrutadores SOHO y Sistema operativo FreeBSD.

También se cree que Chaos es una evolución de otro malware DDoS basado en Go llamado Kaiji que anteriormente se había dirigido a instancias de Docker mal configuradas. Las correlaciones, según Black Lotus Labs, se derivan de la superposición de código y funciones, contando la de un módulo de shell inverso que permite ejecutar comandos arbitrarios en un dispositivo infectado.

Un servidor GitLab ubicado en Europa fue una de las víctimas de la botnet Chaos en las primeras semanas de septiembre, dijo la compañía, y agregó que identificó una serie de ataques DDoS dirigidos a entidades que abarcan juegos, servicios financieros y tecnología, medios y entretenimiento. y proveedores de alojamiento. También se apuntó a un intercambio de criptominería.

Los hallazgos llegan exactamente tres meses después de que la empresa de seguridad cibernética expusiera un nuevo troyano de acceso remoto denominado ZuoRAT que ha estado seleccionando enrutadores SOHO como parte de una campaña sofisticada dirigida contra las redes norteamericanas y europeas.

“Estamos viendo un malware complejo que se ha cuadriplicado en tamaño en solo dos meses y está bien posicionado para continuar acelerándose”, dijo Mark Dehus, director de inteligencia de amenazas de Lumen Black Lotus Labs. “El caos representa una amenaza para una variedad de dispositivos y hosts de consumidores y empresas”.