كشف باحثو الأمن السيبراني عن نسخة جديدة من برمجية Chaos الخبيثة، التي توسعت في استهدافها لتشمل نشرها على بيئات سحابية غير مُهيأة بشكل صحيح، بعد أن كانت تركز سابقًا على أجهزة التوجيه والأنظمة الطرفية. هذا التطور يعكس اتجاهًا متزايدًا لدى مشغلي الشبكات الخبيثة نحو استغلال الثغرات في البنى السحابية لتحقيق أهداف مالية وهجومية أكثر تنوعًا.
خلفية عن Chaos
- تم توثيق Chaos لأول مرة في سبتمبر 2022 بواسطة Lumen Black Lotus Labs.
- هي برمجية متعددة المنصات تستهدف Windows وLinux، قادرة على تنفيذ أوامر عن بُعد، نشر وحدات إضافية، الانتشار عبر كسر مفاتيح SSH، تعدين العملات الرقمية، وتنفيذ هجمات DDoS عبر بروتوكولات متعددة (HTTP, TLS, TCP, UDP, WebSocket).
- يُعتقد أنها تطور من برمجية Kaiji التي استهدفت حاويات Docker غير المؤمنة.
تفاصيل الهجوم الأخير
- رُصدت النسخة الجديدة عبر شبكة honeypot تابعة لشركة Darktrace، حيث استغلت نشرًا غير مُهيأ لخدمة Hadoop.
- بدأ الهجوم بطلب HTTP لإنشاء تطبيق جديد، تضمن أوامر Shell لجلب ملف Chaos من خادم خبيث (pan.tenire[.]com)، منحه صلاحيات كاملة ، وتنفيذه ثم حذف الأثر لتقليل الأدلة الجنائية.
- اللافت أن هذا النطاق استخدم سابقًا في حملة تصيّد مرتبطة بمجموعة Silver Fox الصينية لتوزيع برمجية ValleyRAT، ما يشير إلى صلة محتملة بين الحملتين.
التغييرات في النسخة الجديدة
- إزالة وظائف الانتشار عبر SSH واستغلال أجهزة التوجيه، وهو ما كان جزءًا من النسخ السابقة.
- إضافة وكيل SOCKS: يسمح باستخدام الأجهزة المصابة كقنوات لنقل حركة المرور، مما يخفي مصدر النشاط الخبيث ويصعّب على المدافعين اكتشافه.
- إعادة كتابة أو إعادة هيكلة بعض الوظائف الموروثة من Kaiji، مما يعكس تطويرًا واسعًا للبرمجية.
دلالات أمنية
- إضافة وكيل SOCKS تشير إلى أن مشغلي Chaos يسعون إلى تنويع مصادر الربح، عبر تقديم خدمات خبيثة مثل إخفاء الهوية وتوجيه الحركة بجانب التعدين وهجمات DDoS.
- هذا التطور يواكب اتجاه شبكات مثل AISURU وChaos نحو دمج خدمات البروكسي كميزة أساسية، ما يعني أن خطر هذه الشبكات لم يعد مقتصرًا على الحرمان من الخدمة، بل يشمل أيضًا إخفاء الهجمات وتسهيل الجرائم الإلكترونية الأخرى.
