🌟 Atualização imperdível para quem gosta de estar bem informado!
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética sinalizaram uma nova variante de malware chamada Chaos, que é capaz de atingir implantações de nuvem mal configuradas, marcando uma expansão da infraestrutura de direcionamento da botnet.
"O malware Chaos está cada vez mais direcionado a implantações de nuvem mal configuradas, expandindo-se além de seu foco tradicional em roteadores e dispositivos de borda", disse a Darktrace em um novo relatório.
O caos foi documentado pela primeira vez pelo Lumen Black Lotus Labs em setembro de 2022, descrevendo-o como um malware de plataforma cruzada capaz de atingir ambientes Windows e Linux para executar comandos shell remotos, eliminar módulos adicionais, propagar-se para outros hosts por meio de chaves SSH de força bruta, minerar criptomoedas e lançar ataques distribuídos de negação de serviço (DDoS) via HTTP, TLS, TCP, UDP e WebSocket.
O malware é avaliado como uma evolução de outro malware DDoS conhecido como Kaiji, que identificou instâncias mal configuradas do Docker. Atualmente, não se sabe quem está por trás da operação, mas a presença de caracteres no idioma chinês e o uso de infraestrutura baseada na China sugerem que o autor da ameaça pode ser de origem chinesa.
A Darktrace disse que identificou a nova variante direcionada à sua rede honeypot no mês passado, uma instância do Hadoop deliberadamente mal configurada que permite a execução remota de código no serviço. No ataque detectado pela empresa de segurança cibernética, a invasão começou com uma solicitação HTTP à implantação do Hadoop para criar um novo aplicativo.
O aplicativo, por sua vez, incorporou uma sequência de comandos shell para recuperar um binário do agente Chaos de um servidor controlado pelo invasor ("pan.tenire[.]com"), definiu permissões para permitir que todos os usuários o lessem, modificassem ou executassem ("chmod 777") e, em seguida, executassem o binário e excluíssem o artefato do disco para minimizar a trilha forense.
Um aspecto interessante do ataque é que o domínio foi anteriormente usado em conexão com uma campanha de phishing por e-mail realizada pelo grupo chinês de crimes cibernéticos Silver Fox para entregar documentos falsos e malware ValleyRAT. A campanha recebeu o codinome Operação Silk Lure da Seqrite Labs em outubro de 2025.
O binário ELF de 64 bits é uma versão reestruturada e atualizada do Chaos que retrabalha diversas de suas funções, mantendo intacta a maior parte de seu conjunto de recursos principais. Uma das mudanças mais significativas, no entanto, diz respeito à remoção de funções que permitiam a propagação via SSH e a exploração de vulnerabilidades do roteador.
Em seu lugar está um novo recurso de proxy SOCKS que permite que o sistema comprometido seja usado para transportar tráfego, ocultando assim as verdadeiras origens da atividade maliciosa e dificultando a detecção e o bloqueio do ataque pelos defensores.
"Além disso, várias funções que anteriormente se acreditava serem herdadas do Kaiji também foram alteradas, sugerindo que os atores da ameaça reescreveram o malware ou o refatoraram extensivamente", acrescentou Darktrace.
A adição do recurso de proxy é provavelmente um sinal de que os agentes de ameaças por trás do malware estão procurando monetizar ainda mais a botnet, além da mineração de criptomoedas e do DDoS de aluguel, e acompanhar seus concorrentes no mercado de crimes cibernéticos, oferecendo uma gama diversificada de serviços ilícitos.
“Embora o Chaos não seja um malware novo, sua evolução contínua destaca a dedicação dos cibercriminosos em expandir suas botnets e aprimorar os recursos à sua disposição”, concluiu a Darktrace. "A recente mudança em botnets como AISURU e Chaos para incluir serviços de proxy como recursos principais demonstra que a negação de serviço não é mais o único risco que esses botnets representam para as organizações e suas equipes de segurança."
"O malware Chaos está cada vez mais direcionado a implantações de nuvem mal configuradas, expandindo-se além de seu foco tradicional em roteadores e dispositivos de borda", disse a Darktrace em um novo relatório.
O caos foi documentado pela primeira vez pelo Lumen Black Lotus Labs em setembro de 2022, descrevendo-o como um malware de plataforma cruzada capaz de atingir ambientes Windows e Linux para executar comandos shell remotos, eliminar módulos adicionais, propagar-se para outros hosts por meio de chaves SSH de força bruta, minerar criptomoedas e lançar ataques distribuídos de negação de serviço (DDoS) via HTTP, TLS, TCP, UDP e WebSocket.
O malware é avaliado como uma evolução de outro malware DDoS conhecido como Kaiji, que identificou instâncias mal configuradas do Docker. Atualmente, não se sabe quem está por trás da operação, mas a presença de caracteres no idioma chinês e o uso de infraestrutura baseada na China sugerem que o autor da ameaça pode ser de origem chinesa.
A Darktrace disse que identificou a nova variante direcionada à sua rede honeypot no mês passado, uma instância do Hadoop deliberadamente mal configurada que permite a execução remota de código no serviço. No ataque detectado pela empresa de segurança cibernética, a invasão começou com uma solicitação HTTP à implantação do Hadoop para criar um novo aplicativo.
O aplicativo, por sua vez, incorporou uma sequência de comandos shell para recuperar um binário do agente Chaos de um servidor controlado pelo invasor ("pan.tenire[.]com"), definiu permissões para permitir que todos os usuários o lessem, modificassem ou executassem ("chmod 777") e, em seguida, executassem o binário e excluíssem o artefato do disco para minimizar a trilha forense.
Um aspecto interessante do ataque é que o domínio foi anteriormente usado em conexão com uma campanha de phishing por e-mail realizada pelo grupo chinês de crimes cibernéticos Silver Fox para entregar documentos falsos e malware ValleyRAT. A campanha recebeu o codinome Operação Silk Lure da Seqrite Labs em outubro de 2025.
O binário ELF de 64 bits é uma versão reestruturada e atualizada do Chaos que retrabalha diversas de suas funções, mantendo intacta a maior parte de seu conjunto de recursos principais. Uma das mudanças mais significativas, no entanto, diz respeito à remoção de funções que permitiam a propagação via SSH e a exploração de vulnerabilidades do roteador.
Em seu lugar está um novo recurso de proxy SOCKS que permite que o sistema comprometido seja usado para transportar tráfego, ocultando assim as verdadeiras origens da atividade maliciosa e dificultando a detecção e o bloqueio do ataque pelos defensores.
"Além disso, várias funções que anteriormente se acreditava serem herdadas do Kaiji também foram alteradas, sugerindo que os atores da ameaça reescreveram o malware ou o refatoraram extensivamente", acrescentou Darktrace.
A adição do recurso de proxy é provavelmente um sinal de que os agentes de ameaças por trás do malware estão procurando monetizar ainda mais a botnet, além da mineração de criptomoedas e do DDoS de aluguel, e acompanhar seus concorrentes no mercado de crimes cibernéticos, oferecendo uma gama diversificada de serviços ilícitos.
“Embora o Chaos não seja um malware novo, sua evolução contínua destaca a dedicação dos cibercriminosos em expandir suas botnets e aprimorar os recursos à sua disposição”, concluiu a Darktrace. "A recente mudança em botnets como AISURU e Chaos para incluir serviços de proxy como recursos principais demonstra que a negação de serviço não é mais o único risco que esses botnets representam para as organizações e suas equipes de segurança."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #nova #variante #chaos #visa #implantações #de #nuvem #mal #configuradas #e #adiciona #proxy #socks
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário