脅威ハンターたちは、WindowsとLinuxシステムを標的にした最近の攻撃で使用されたリモートアクセス型トロイの木馬(RAT)の新しいバリアントであるChaos RATに注目しています。
Acronisの調査によると、このマルウェアアーティファクトは、被害者を騙してLinux環境用のネットワークトラブルシューティングユーティリティをダウンロードさせることで配布された可能性があります。
“Chaos RATはGolangで書かれたオープンソースのRATで、WindowsとLinuxシステムの両方にクロスプラットフォームのサポートを提供します”と、セキュリティ研究者のSantiago Pontiroli、Gabor Molnar、Kirill AntonenkoがThe Hacker Newsに共有したレポートで述べています。
“Cobalt StrikeやSliverといった人気のフレームワークに触発され、Chaos RATはユーザーがペイロードを構築し、セッションを確立し、侵害されたマシンを制御するための管理パネルを提供します。”
“リモート管理ツール”の開発は2017年に始まりましたが、2022年12月にLinuxシステム上でホストされている公開ウェブアプリケーションを標的にした悪意のあるキャンペーンでXMRig暗号通貨マイナーが使用された際に注目を集めました。
インストールされると、マルウェアは外部サーバーに接続し、リバースシェルの起動、ファイルのアップロード/ダウンロード/削除、ファイルとディレクトリの列挙、スクリーンショットの取得、システム情報の収集、マシンのロック/再起動/シャットダウン、任意のURLの開くといったコマンドを待ち受けます。Chaos RATの最新バージョンは5.0.3で、2024年5月31日にリリースされました。
Acronisによると、Linuxバリアントのマルウェアは、その後、暗号通貨マイニングキャンペーンと関連して野生で検出されています。同社が観察した攻撃チェーンは、Chaos RATが悪意のあるリンクや添付ファイルを含むフィッシングメールを通じて被害者に配布されていることを示しています。
これらのアーティファクトは、タスクスケジューラ”/etc/crontab”を変更してマルウェアを定期的に取得することで持続性を設定する悪意のあるスクリプトをドロップするように設計されています。
“初期のキャンペーンでは、暗号通貨マイナーとChaos RATを別々に配信するためにこの手法が使用され、Chaosが主に侵害されたデバイスでの偵察と情報収集に使用されていたことを示しています”と研究者たちは述べています。
2025年1月にインドからVirusTotalにアップロードされた最近のサンプルの分析により、ユーザーがLinux環境用のネットワークトラブルシューティングユーティリティとして偽装されたマルウェアをダウンロードするように騙されている可能性が浮上しました。
さらに、ペイロードの構築と感染したマシンの管理を可能にする管理パネルが、コマンドインジェクションの脆弱性(CVE-2024-30850, CVSSスコア: 8.8)に脆弱であることが判明し、クロスサイトスクリプティングの欠陥(CVE-2024-31839, CVSSスコア: 4.8)と組み合わせて、特権を持つサーバー上で任意のコードを実行することができます。これらの脆弱性は2024年5月にChaos RATのメンテナーによって対処されました。
Chaos RATが実際の攻撃で使用されている背後に誰がいるのかは現在不明ですが、この開発は、脅威アクターがオープンソースツールをどのように武器化し続け、帰属の努力を混乱させるかを再び示しています。
“開発者のツールとして始まったものが、すぐに脅威アクターの選択する手段になることがあります”と研究者たちは述べています。”公開されているマルウェアを使用することで、APTグループは日常のサイバー犯罪のノイズに溶け込むことができます。オープンソースのマルウェアは、すぐにカスタマイズして展開できる「十分な」ツールキットを提供します。複数のアクターが同じオープンソースのマルウェアを使用すると、帰属の水を濁します。”
この開示は、デスクトップ上のTrust Walletユーザーをターゲットにした新しいキャンペーンの出現と一致しており、偽のバージョンが欺瞞的なダウンロードリンク、フィッシングメール、またはバンドルソフトウェアを通じて配布され、ブラウザの資格情報を収集し、デスクトップベースのウォレットやブラウザ拡張機能からデータを抽出し、コマンドを実行し、クリッパーマルウェアとして機能することを目的としています。
“インストールされると、マルウェアはウォレットファイルをスキャンしたり、クリップボードデータを傍受したり、ブラウザセッションを監視してシードフレーズや秘密鍵をキャプチャしたりすることができます”とPoint Wildの研究者Kedar S Panditが今週発表されたレポートで述べています。
翻訳元: https://thehackernews.com/2025/06/chaos-rat-malware-targets-windows-and.html