• Buzz chaud du moment
  • Buzz chaud du moment
Actualités

“Un logiciel malveillant multi-fonction basé sur Go” : mise en lumière de Chaos, un malware allant de l’ex-filtration de données aux cyber-attaques par DDoS !

(Source : Black Lotus Labs, Lumen Tech.)

 

L’équipe Black Lotus Labs (pour Lumen Tech.) vient de publier ses recherches (s’étalant entre la “mi-Juin et la mi-Juillet” 2022) concernant Chaos, un malware œuvrant sous Windows ou Linux et opérant dans un champ d’action dangereusement varié : allant de la communication command-and-server jusqu’à l’ex-filtration de données (dont clés SSH…) il semble le descendant malveillant du botnet Kaiji, un autre malware découvert, officiellement, en 2020. Impactant des secteurs ou entreprises dans presque tout les domaines professionnels, il exploite les cyber-attaques par DDoS (Distribued Denial of Service) voire celles de type DDoS-aaS (as a Service).

 

 

Black Lotus Labs, la branche de renseignement sur les menaces de Lumen Technologies, a récemment découvert un logiciel malveillant multifonctionnel basé sur Go qui a été développé à la fois pour Windows et Linux, ainsi qu’un large éventail d’architectures logicielles utilisées dans des appareils allant des petits bureaux/bureaux à domicile (SOHO ) routeurs aux serveurs d’entreprise. Nous avons découvert et analysé environ 100 échantillons du logiciel malveillant, nommé Chaos […] La fonctionnalité Chaos inclut la possibilité d’énumérer l’environnement hôte, d’exécuter des commandes shell distantes, de charger des modules supplémentaires, de se propager automatiquement en volant et en forçant brutalement les clés privées SSH, ainsi que de lancer des attaques DDoS. En utilisant la visibilité du réseau mondial de Lumen, Black Lotus Labs a énuméré les C2 et les cibles de plusieurs clusters Chaos distincts, y compris un compromis réussi d’un serveur GitLab et une série d’attaques DDoS récentes ciblant les secteurs des jeux, des services financiers et de la technologie, des médias et du divertissement – ainsi que des fournisseurs de DDoS-as-a-service et un échange de crypto-monnaie […] La puissance du logiciel malveillant Chaos découle de plusieurs facteurs : premièrement, il est conçu pour fonctionner sur plusieurs architectures, notamment : ARM, Intel (i386), MIPS et PowerPC, en plus des systèmes d’exploitation Windows et Linux. Deuxièmement, contrairement aux botnets de distribution de ransomwares à grande échelle comme Emotet qui exploitent le spam pour se propager et se développer, Chaos se propage via des CVE connus et des clés SSH forcées ou volées“, est-il notamment, synthétiser en guise de préambule, le 28 Septembre 2022.

 

Sur les 100 échantillons ainsi analysés (et ayant produit le PoC, version publique), les chercheurs estiment que Chaos est l’évolution du botnet Kaiji. Ce dernier ciblait, au moins depuis 2020, des serveurs Linux intégrant des solutions AMD et i386 en effectuant des cyber-attaques par force brute (SSH) pour dupliquer la viralité vers d’autres serveurs et ainsi étendre une cyber-attaque DDoS massive ou de grande ampleur. Deux ans après les premières découvertes du botnet (par TrendMicro, notamment), il semble que Chaos, sont successeur ait amélioré toutes ou certaines parties du code avec des fonctionnalités ou stratégies nouvelles dont l’exploitation de failles de CVE “connus“. Il est bien souligné que Chaos n’est pas en relation avec le ransomware Chaos.

Côté modus operandi, Chaos est assez évolué et, surtout persistant : après quelques incursions préparatoires (déchiffrement port base64, création d’une clé de registre), il forcera (jusqu’au succès de la manœuvre) la tentative de connexion (handshake) sous TLS via un accès depuis le serveur command-and-control (un message en chinois – avec une faute volontaire – sera envoyé pour les retours-échec). Un socket est conçu (toujours sous serveur c-and-c) pour intégrer diverses commandes et fonctionnalités distantes et, surtout, automatiser la viralité et son étendue ou expansion (SSH). “Si les tentatives de vol SSH ou de force brute réussissent, le fichier de téléchargement est déclenché. Le fichier de téléchargement contient l’adresse IP et le port d’un serveur intermédiaire qui héberge des copies de Chaos compilées pour diverses architectures, telles que x86, x86-64, AMD64, MIPS, MIPS64, ARMv5-ARMv8, AArch64 et PowerPC. Chaos utilise le serveur intermédiaire non pas pour contrôler les bots, mais pour parcourir le processus d’infection […] dans le but de propager davantage le botnet“, est-il précisé.

De plus, les variations demeurent (adaptabilité du malware), selon que Chaos s’instille sous environnement Linux ou Windows ; condensé de ces différences (Linux) :

 

  • Copie-fichier (chemin) /etc/id.services.conf + création du fichier /etc/32678 ;
  • Balise (vers command-and-serveur) : uname (pas de retour sur les informations de l’architecture). En cas d’appel non-retourné, un message ou réponse (en chinois) est envoyé (“GET failed” – traduction en anglais) ;
  • IPSpoof(ing) : exploitation de la commande (par rapport à Windows qui ne l’intègre pas dans la chaîne d’infection, pour l’instant) pour le socket (IP_HDRINCL). “La commande ipspoof définit les en-têtes sur une adresse IP basée sur une version modifiée du deuxième octet de l’adresse IP du bot : le deuxième octet est un de moins que l’adresse IP infectée et il est envoyé 30 fois, en soustrayant à chaque fois un chiffre de la dernière adresse IP. Nous évaluons que cela vise à usurper l’en-tête lors d’une attaque DDoS pour donner l’impression que les paquets proviennent d’une plage d’adresses IP plutôt que d’un seul bot“, expliquent les chercheurs.

 

Des “hotspots” ont été observés dans les Amériques (Nord, Sud) mais aussi depuis le continent Asie-Pacifique avec une activité nulle pour certains pays ; l’Australie et la Nouvelle-Zélande étant cités. Un des serveurs sous surveillance possédait une IP avec des certificats auto-signés sous l’appellation Chaos : en remontant le fil de l’eau, “15 nœuds actifs” ont été mis en lumière avec une date remontant au 16 Avril 2022 pour le premier certificat auto-signé de cette entreprise (les chercheurs estiment que cette date amorce le premier exploit dans la nature, in the wild).

 

A partir de cette date et toujours sous couvert des observations des chercheurs, une augmentation de ces certificats a été notée pour monter à 39 en Mai 2022 contre 93 en Août 2022 voire 111 certificats auto-signés, pour le mois de Septembre 2022. Dans l’ensemble, le champ d’activité est situé en Europe (Italie, surtout, avec la France légèrement derrière, suivis de l’Espagne et de l’Allemagne, après la France) “avec peu d’appareils distribués dans le monde“.

 

Recommandations pour se prémunir de Chaos :

 

  • Défenseurs du réseau” (administrateurs-réseau) : consulter les IoCs (Indicateurs de Compromission) de Chaos tout en appliquant les patchs correctifs des CVEs exploités par le malware ;
  • Toujours pour les gestionnaires-réseau (entreprises) : si ce n’est déjà le cas, éventuellement opter pour une solution SASE (Secure Access Service Edge) et anti-DDoS pour limiter l’impact de menaces telles que Chaos ;
  •  Propriétaires de routeurs SOHO (Small Office Home Office) : effectuer des re-démarrages réguliers de ces routeurs tout en appliquant les mises à jour (firmwares) ;
  • Internaute ou salarié en télé-travail : désactiver l’accès distant (root) pour les terminaux qui n’en auraient pas l’utilité. Concernant les clés SSHs : veiller à les stocker là où c’est seulement nécessaires (pour les terminaux qui en ont un besoin absolu). Enfin, il est conseillé de changer les mots de passe par défaut.

 

 

 

Des exemples ont été partagés d’entreprises ou victimes de Chaos : “une société de jeux a été ciblée par une attaque mixte UDP, TCP et SYN sur le port 30120. Du 1er au 5 septembre, l’organisation a reçu un flux de trafic supérieur à son volume habituel. Une répartition du trafic pour la période avant et pendant la période d’attaque montre un flux de trafic envoyé au port 30120 par environ 12 000 adresses IP distinctes – bien qu’une partie de ce trafic puisse indiquer une usurpation d’adresse IP” voire une organisation spécialisée elle-même dans les cyber-attaques DDoS-aaS (!) qui a été impactée par un trafic “de plus de six fois le volume du trafic normal“, le 1er Septembre 2022… A veiller !

 

 

 

Sources :

50% J'apprécieVS
50% Je n'apprécie pas



  • Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.14.0