Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Botnet Chaos, dotąd kojarzony głównie z atakami DDoS, kopaniem kryptowalut i przejmowaniem systemów Linux oraz Windows, ewoluuje w kierunku bardziej wszechstronnego narzędzia operacyjnego. Najnowszy wariant został zaobserwowany podczas ataków na błędnie skonfigurowane środowiska chmurowe, gdzie cyberprzestępcy wykorzystują zdalne wykonanie kodu do szybkiego uruchomienia złośliwej binarki.
Kluczową zmianą jest dodanie funkcji proxy SOCKS5. Oznacza to, że przejęte serwery mogą służyć nie tylko do klasycznych działań botnetowych, ale również do ukrywania ruchu, pośredniczenia w komunikacji atakujących oraz wspierania dalszych etapów kompromitacji.
W skrócie
Nowy wariant Chaos wykorzystuje błędne konfiguracje usług chmurowych, aby uruchamiać malware na serwerach Linux. W analizowanym scenariuszu atakujący użył podatnej instancji Hadoop do pobrania, uruchomienia i usunięcia binarki ELF, ograniczając tym samym liczbę śladów na hoście.
- celem ataków są źle zabezpieczone wdrożenia chmurowe,
- malware zachowuje zdolności DDoS i obsługę poleceń z serwera C2,
- dodano funkcję proxy SOCKS5,
- przejęte hosty mogą być wykorzystywane do ukrywania ruchu i pivotingu,
- zmiana zwiększa wartość zainfekowanych systemów dla operatorów cyberprzestępczych.
Kontekst / historia
Chaos został szerzej opisany w 2022 roku jako wielofunkcyjne malware napisane w języku Go. Od początku wyróżniał się elastycznością, obsługą wielu architektur oraz szerokim zestawem funkcji obejmujących zdalne wykonywanie poleceń, pobieranie dodatkowych modułów, ataki DDoS i cryptomining.
Wcześniejsze kampanie skupiały się przede wszystkim na urządzeniach brzegowych, routerach i serwerach dostępnych z internetu. Rozprzestrzenianie odbywało się między innymi przez brute force SSH, wykorzystanie znanych luk oraz słabe konfiguracje. Obecna zmiana wskazuje jednak na wyraźne przesunięcie zainteresowania operatorów malware w stronę infrastruktury cloud, która oferuje większą moc obliczeniową, lepszą łączność i potencjalnie dostęp do zasobów wewnętrznych organizacji.
To wpisuje się w szerszy trend monetyzacji kompromitowanych hostów. Zamiast pojedynczego zastosowania, jeden serwer może dziś jednocześnie działać jako węzeł DDoS, platforma do wydobywania kryptowalut, punkt pośredniczący dla ruchu atakującego i przyczółek do dalszego rekonesansu.
Analiza techniczna
Łańcuch infekcji rozpoczynał się od żądania HTTP skierowanego do niezabezpieczonej instancji Hadoop. Napastnik tworzył nową aplikację z osadzonym poleceniem systemowym, co pozwalało wykonać ciąg komend powłoki odpowiedzialnych za pobranie próbki z serwera kontrolowanego przez atakującego.
Następnie binarka otrzymywała uprawnienia wykonywania, była uruchamiana, a plik usuwano z dysku. Taki schemat pobranie–chmod–uruchomienie–usunięcie utrudnia analizę po incydencie i zmniejsza liczbę artefaktów pozostawianych w systemie plików.
Próbka była 64-bitowym plikiem ELF przeznaczonym dla środowisk serwerowych Linux. Analiza wskazuje, że twórcy przeszli refaktoryzację kodu: część funkcji kojarzonych z wcześniejszym rozprzestrzenianiem przez SSH i atakami na routery została ograniczona lub usunięta, ale rdzeń botnetowy zachowano. Nadal obecne są możliwości związane z trwałością infekcji, komunikacją z C2 oraz atakami DDoS z użyciem różnych protokołów, takich jak HTTP, TLS, TCP, UDP i WebSocket.
Najważniejszą nowością jest obsługa proxy SOCKS5. Po otrzymaniu odpowiedniego polecenia malware otwiera kontrolowany port TCP i zaczyna przekazywać ruch jako pośrednik. Z perspektywy operatora oznacza to możliwość maskowania aktywności, korzystania z adresu IP ofiary, obchodzenia części filtrów reputacyjnych oraz ułatwienia ruchu bocznego w przypadku hostów mających dostęp do segmentów prywatnych.
Na uwagę zasługuje również kontekst infrastrukturalny. Domena wykorzystana do pobrania próbki była wcześniej łączona z kampanią phishingową Operation Silk Lure, w której dostarczano malware ValleyRAT. Nie musi to oznaczać bezpośrednio wspólnego operatora, ale może sugerować współdzielenie zasobów lub wtórne wykorzystanie tej samej infrastruktury.
Konsekwencje / ryzyko
Dla organizacji korzystających z chmury nowy wariant Chaos oznacza wzrost ryzyka wykraczający poza standardowy model infekcji botnetowej. Przejęty serwer może zostać użyty jako zasób operacyjny w różnych scenariuszach przestępczych, nawet jeśli pierwotnym celem ataku nie była kradzież danych.
- wykorzystanie CPU i pamięci do cryptominingu,
- udział hosta w atakach DDoS,
- uruchomienie anonimowego węzła proxy,
- pivoting do sieci wewnętrznych,
- utrudnione dochodzenie z uwagi na usuwanie artefaktów po uruchomieniu malware.
Dodanie funkcji proxy SOCKS5 zmienia profil ryzyka także w wymiarze reputacyjnym i operacyjnym. Ruch generowany z adresów IP organizacji może zostać zaklasyfikowany jako złośliwy, co zwiększa prawdopodobieństwo blokad reputacyjnych, problemów z dostępnością usług i wtórnych incydentów bezpieczeństwa.
Rekomendacje
Podstawą obrony pozostaje ograniczenie ekspozycji usług administracyjnych i wykonawczych dostępnych z internetu. Organizacje powinny regularnie weryfikować konfiguracje środowisk chmurowych oraz eliminować możliwość zdalnego wykonania kodu tam, gdzie nie jest to bezwzględnie konieczne.
- ograniczyć dostęp do paneli administracyjnych, API i usług orkiestracyjnych wyłącznie do zaufanych adresów,
- wdrożyć silne uwierzytelnianie i segmentację sieci,
- regularnie przeglądać konfiguracje Hadoop, Docker, Kubernetes i pokrewnych platform,
- natychmiast aktualizować komponenty narażone na RCE,
- monitorować procesy uruchamiane przez usługi sieciowe i aplikacyjne.
W obszarze detekcji warto rozwijać telemetrię ukierunkowaną na zachowania, a nie tylko na znane wskaźniki kompromitacji.
- rejestrować tworzenie nowych usług systemowych i mechanizmów trwałości,
- wykrywać sekwencje pobranie–chmod–uruchomienie–usunięcie,
- analizować nietypowe połączenia wychodzące do nieznanych domen i adresów IP,
- monitorować lokalne porty proxy SOCKS na serwerach Linux,
- korelować anomalię sieciowe z nagłym wzrostem użycia CPU oraz pojawieniem się nowych binarek ELF.
W reakcji na incydent zainfekowany host należy traktować jako potencjalny punkt przesiadkowy do dalszej kompromitacji. Oznacza to konieczność izolacji systemu, zebrania artefaktów pamięci i logów, rotacji poświadczeń oraz pełnej oceny systemów, do których serwer miał dostęp.
Podsumowanie
Nowy wariant Chaos pokazuje, że współczesne botnety coraz rzadziej pełnią jedną funkcję. Zamiast prostych narzędzi DDoS stają się wielozadaniowymi platformami przestępczymi, które wykorzystują błędnie skonfigurowane środowiska cloud do uzyskania trwałego i opłacalnego dostępu.
Dodanie proxy SOCKS5 znacząco zwiększa użyteczność przejętych serwerów i utrudnia obronę. Dla zespołów bezpieczeństwa to wyraźny sygnał, że ochrona chmury musi obejmować nie tylko aktualizacje i łatanie podatności, ale także ciągły przegląd konfiguracji, kontrolę ekspozycji usług i dokładne monitorowanie zachowań hostów.
Źródła
- The Hacker News — https://thehackernews.com/2026/04/new-chaos-variant-targets-misconfigured.html
- Darktrace Identifies New Chaos Malware Variant Exploiting Misconfigurations in the Cloud — https://www.darktrace.com/blog/darktrace-identifies-new-chaos-malware-variant-exploiting-misconfigurations-in-the-cloud
- Lumen Black Lotus Labs discovers an expanding, multipurpose botnet called Chaos — https://ir.lumen.com/news/news-details/2022/Lumen-Black-Lotus-Labs-discovers-an-expanding-multipurpose-botnet-called-Chaos/default.aspx
- Chaos is a Go-based Swiss army knife of malware — https://www.lumen.com/blog/en-us/chaos-go-based-swiss-army-knife-malware
- Operation Silk Lure: Scheduled Tasks Weaponized for DLL Side-Loading (drops ValleyRAT) — https://www.seqrite.com/blog/operation-silk-lure-scheduled-tasks-weaponized-for-dll-side-loading-drops-valleyrat/