Cyberthreat.id – Peneliti keamanan dari Lumen's Black Lotus Labs mengungkapkan bahwa malware baru berbasis Go multi-fungsi yang dijuluki Chaos menargetkan berbagai macam router Windows, Linux, small office/home office (SOHO), dan server perusahaan ke dalam botnetnya.

"Fungsi Chaos mencakup kemampuan untuk menghitung lingkungan host, menjalankan perintah shell jarak jauh, memuat modul tambahan, secara otomatis menyebar melalui pencurian dan paksaan kunci pribadi SSH, serta meluncurkan serangan DDoS," kata peneliti sesuai yang dikutip dari The Hacker News.

Peneliti mengatakan, sebagian besar bot berlokasi di Eropa, khususnya Italia, dengan infeksi lain yang dilaporkan di China dan AS, secara kolektif mewakili ratusan alamat IP unik selama periode waktu satu bulan dari pertengahan Juni hingga pertengahan Juli 2022.

Ditulis dalam bahasa China dan memanfaatkan infrastruktur berbasis China untuk perintah-dan-kontrol, botnet bergabung dengan daftar panjang malware yang dirancang untuk membangun kegigihan untuk waktu yang lama dan kemungkinan menyalahgunakan pijakan untuk tujuan jahat, seperti serangan DDoS dan penambangan cryptocurrency.

“Perkembangan juga menunjukkan peningkatan dramatis dalam aktor ancaman yang beralih ke bahasa pemrograman seperti Go untuk menghindari deteksi dan membuat rekayasa balik menjadi sulit, belum lagi menargetkan beberapa platform sekaligus.

Peneliti menjelaskan, sesuai dengan namanya Chaos mengeksploitasi kerentanan keamanan yang diketahui untuk mendapatkan akses awal, kemudian menyalahgunakannya untuk melakukan pengintaian dan memulai pergerakan lateral di seluruh jaringan yang disusupi.

Terlebih lagi, malware ini memiliki keserbagunaan yang tidak dimiliki malware serupa, memungkinkannya beroperasi di berbagai arsitektur set instruksi dari ARM, Intel (i386), MIPS, dan PowerPC, secara efektif memungkinkan pelaku ancaman untuk memperluas cakupan targetnya. dan dengan cepat bertambah dalam volume.

Selain itu, Chaos memiliki kemampuan untuk mengeksekusi sebanyak 70 perintah berbeda yang dikirim dari server C2, salah satunya adalah instruksi untuk memicu eksploitasi kelemahan yang diungkapkan secara publik (CVE-2017-17215 dan CVE-2022- 30525) didefinisikan dalam file.

Chaos juga diyakini sebagai evolusi dari malware DDoS berbasis Go lainnya bernama Kaiji yang sebelumnya menargetkan instance Docker yang salah konfigurasi. Korelasi, per Black Lotus Labs, berasal dari kode dan fungsi yang tumpang tindih, termasuk modul shell terbalik yang memungkinkan untuk menjalankan perintah sewenang-wenang pada perangkat yang terinfeksi.

Server GitLab yang berlokasi di Eropa adalah salah satu korban botnet Chaos pada minggu-minggu pertama September, kata perusahaan itu, menambahkan bahwa ia mengidentifikasi serangkaian serangan DDoS yang ditujukan pada entitas yang mencakup game, layanan keuangan, dan teknologi, media, dan hiburan. dan penyedia hosting. Juga ditargetkan adalah pertukaran penambangan kripto.

Temuan ini muncul tepat tiga bulan setelah perusahaan keamanan siber mengekspos trojan akses jarak jauh baru yang dijuluki ZuoRAT yang telah memilih router SOHO sebagai bagian dari kampanye canggih yang ditujukan terhadap jaringan Amerika Utara dan Eropa.

“Kami melihat malware kompleks yang ukurannya empat kali lipat hanya dalam dua bulan, dan berada di posisi yang tepat untuk terus berakselerasi,” kata Mark Dehus, direktur intelijen ancaman untuk Lumen Black Lotus Labs.