HackerNews 编译,转载请注明出处:
研究人员警告称,近期出现的新型远程访问木马(RAT)“Chaos RAT”变种正针对Windows和Linux系统发起攻击。根据Acronis的研究,攻击者通过诱骗受害者下载伪装成Linux网络故障排查工具的恶意软件进行传播。
安全研究人员Santiago Pontiroli、Gabor Molnar和Kirill Antonenko在报告中指出:“Chaos RAT是用Golang编写的开源RAT,支持跨平台的Windows和Linux系统。该工具借鉴了Cobalt Strike和Sliver等流行框架,提供可构建载荷、建立会话并控制受感染设备的管理面板”。
虽然这款“远程管理工具”的开发始于2017年,但其真正引起关注是在2022年12月——当时攻击者利用它针对托管Linux系统的公开Web应用程序发起恶意活动,部署XMRig加密货币挖矿程序。该恶意软件安装后会连接外部服务器,接收包括启动反向Shell、上传/下载/删除文件、枚举文件目录、截取屏幕截图、收集系统信息、锁定/重启/关闭设备以及打开任意URL等指令。最新5.0.3版本已于2024年5月31日发布。
Acronis发现Linux变种已出现在真实攻击中,多与加密货币挖矿活动关联。攻击链显示黑客通过包含恶意链接或附件的钓鱼邮件传播Chaos RAT。这些恶意文件会投放修改任务调度程序脚本,通过定期获取恶意软件实现持久化驻留。
早期攻击活动曾用此技术分别投放加密货币矿工和Chaos RAT,表明后者主要用于受感染设备的侦察和信息收集。对2025年1月上传至VirusTotal的样本分析显示,攻击者可能将恶意软件伪装成Linux网络故障排查工具诱导用户下载。
该木马的管理面板(用于构建载荷和控制受感染设备)被曝存在命令注入漏洞(CVE-2024-30850,CVSS 8.8分),可与跨站脚本漏洞(CVE-2024-31839,CVSS 4.8分)组合使用,实现服务器端特权提升的任意代码执行。维护者已于2024年5月修复这两个漏洞。
尽管幕后黑手尚未明确,但事件再次表明攻击者持续将开源工具武器化以混淆溯源。研究人员强调:“开发者工具可能迅速演变为攻击者的首选武器。公开渠道获取的恶意软件让APT组织隐匿于日常网络犯罪噪音中。开源恶意软件提供可快速定制部署的‘足够有效’工具包,当多个组织使用相同工具时,会极大干扰攻击溯源”。
该披露恰逢针对桌面版Trust Wallet用户的新攻击活动——攻击者通过欺骗性下载链接、钓鱼邮件或捆绑软件分发伪造版本,旨在窃取浏览器凭证、提取桌面钱包及浏览器扩展数据、执行命令并实施剪贴板劫持。安全研究员Kedar S Pandit指出:“该恶意软件安装后可扫描钱包文件、劫持剪贴板数据或监控浏览器会话以窃取助记词及私钥”。
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
