Botnets verschwinden nicht; sie erfinden wieder. In den letzten Wochen haben sich die Antwort- und Detektionsteams auf ein schädliches Software-Stück, das als Chaos bekannt ist, neu konzentriert, aber nicht, weil es etwas völlig Neues ist: Das bemerkenswerte ist, dass es die Bühne verändert hat. Diese Malware, die bereits vor einer Weile entdeckt worden war, die Router und Edge-Geräte betrifft, hat begonnen, die Cloud-Umgebungen zu nutzen, die schlecht konfiguriert sind - ein Sprung, der seine Reichweite und sein Schadenspotenzial erhöht.
Um zu verstehen, warum es darum geht, zu überprüfen, was Chaos ist und wie es sich entwickelt hat. Als es in den Berichten einiger Cybersicherheitsfirmen erschien, wurde es als eine multiplatform Malware beschrieben, die in der Lage ist, Remote-Bestellungen zu betreiben, zusätzliche Module herunterzuladen, mit grober Kraft gegen SSH-Schlüssel zu replizieren, Kryptomonedas zu Bergbau und den Start-Service Denial-Angriffen (DDoS) durch mehrere Protokolle. Diese Kombination machte es besonders vielseitig: Es könnte sowohl in Windows- als auch in Linux-Systemen leben und verschiedene Techniken verwenden, um die Ressourcen zu nutzen.
Die Neuheit ist nun, dass Angreifer die Flexibilität für Cloud-Dienste lenken, die Konfigurationsfehler darstellen. Jüngste Untersuchungen zeigen auf Intrusionen in bewusst gefährdeten Fällen - wie eine exponierte Hadoop, die Remote-Ausführung erlaubte -, wo Angreifer eine "Anwendung" herstellen, die tatsächlich eine Folge von Befehlen zum Herunterladen einer bösartigen Binär, geben Sie ihm umfangreiche Berechtigungen (z.B. ein klassisches chmod 777), führen Sie es und löschen Sie die Datei, um es schwierig zu forensischen Analyse zu machen.
Diese Art von Manöver ist nicht neu an sich, aber es ist das Ziel: Der Übergang von schlecht konfigurierten Edge-Geräten und Containern zu Cloud-Einsätzen setzt Organisationen aus, die sich auf verwaltete Plattformen verlassen, aber nicht richtig ausgehärtete Genehmigungen, Zugriffskontrollen und Überwachung haben. Unterschriften wie Darkness Nachweise in ihren locken Netzwerken dokumentiert haben, und Intelligenzgruppen wie Lumen Black Lotus Labs Sie gehörten zu den ersten, um Chaoss ursprüngliche Fähigkeiten zu beschreiben.
Ein interessantes technisches Detail der neuen binären ist, dass, obwohl es viele der Funktionalitäten, die Forscher bereits kannte, es beseitigt bestimmte alte Routinen, die durch SSH verbreitet werden sollen oder Schwachstellen in Routern auszunutzen. Stattdessen enthält es eine SOCKS-Proxy-Kapazität, die das engagierte Team in ein Relais für schädlichen Verkehr verwandelt. Das ändert die Regeln des Spiels: Das infizierte System hört auf, nur eine Bergbaumaschine zu sein oder an DDoS teilzunehmen und wird zu einer Anonimisierungsinfrastruktur für den Rest der kriminellen Aktivität, die die Zuschreibung und Eindämmung von Operationen, die aus dem Botnet stammen, erschwert.
Die Bewegung, um Proxy-Dienste anzubieten, passt zu einem breiteren Trend im Cyber-Kriminalität Markt: Die Monetisierung von Bots ist nicht mehr auf Kryptomoneda Bergbau oder Vermietung für DDoS-Angriffe beschränkt, sondern beinhaltet den Verkauf von Zugangs-, Tunnel- und Anonymitätsdiensten, die andere Bedrohungen nutzen können. Diese Art von Entwicklung wurde auch in anderen Botnet-Familien beobachtet, die Module zur Diversifizierung ihres Einkommens und ihrer Nützlichkeit gegenüber Dritten hinzugefügt haben.
Bei der Zuschreibung, wie immer, die Gewissheiten sind knapp. Einige indirekte Befunde - wie das Vorhandensein von chinesischen Zeichen in Code oder die Nutzung von Infrastruktur in China - lassen darauf schließen, dass die Autoren aus dieser Region operieren könnten, aber das ist nur ein Hinweis. Die von den schädlichen Akteuren wiederverwendete Infrastruktur kann mit Phishing-Kampagnen oder anderen Operationen gemischt werden: In einem der gemeldeten Vorfälle war die Domain, aus der der Chaos-Agent heruntergeladen wurde, bereits mit einer Mail-Kampagne verknüpft, die Spion-Programme und Decoy-Dokumente lieferte, eine Arbeit, die kommerzielle Forscher dann als Operation Silk Lure markiert.
Was kann ein Sicherheitsteam mit dieser Art von Bedrohung tun? Zunächst ist zu akzeptieren, dass schlecht konfigurierte Wolken ein attraktives Ziel sind und dass die Überwachung an dieses Risiko angepasst werden muss. Es ist wichtig, die exponierte Oberfläche zu reduzieren: Management-Schnittstellen einschränken, Richtlinien überprüfen, eine starke Authentifizierung in SSH und API-Zugängen verwenden und die Erstellung von Anwendungen oder Jobs steuern, die willkürliche Befehle ausführen können. Gleichzeitig sollte die Detektion weniger offensichtliche Signale umfassen, wie ungewöhnliche binäre Entladungsmuster, kaskadenwechselnde Befehle oder abgehende Verbindungen, die Proxytunnels etablieren. Traffic-Analyse-Tools, Web Application Firewalls und Cloud-Detektionslösungen helfen, Frühwarnungen zu erhöhen.
Die Sicherheitsgemeinschaft veröffentlicht regelmäßig Anleitungen und Hinweise zur Minderung von Botnets und Risiken im Zusammenhang mit der Cloud; Organismen wie CISA und Forschungsprojekte bieten Ressourcen, die verfolgt werden sollen, und Drohungen Intelligenz Unternehmen oft aktualisieren Commitment Indicators und praktische Empfehlungen. Beraten Sie diese Berichte und implementieren Sie Zugriffs-Patches, Regeln und Richtlinien so bald wie möglich deutlich reduziert die Wahrscheinlichkeit, dass eine legitime Bereitstellung endet Teil eines Botnet.
Kurz gesagt, der Fall von Chaos ist eine Erinnerung, dass kriminelle Werkzeuge entwickeln und neue Angriffsflächen erkunden. Eine unkontrollierte Cloud-Architektur ist ein attraktiver Input-Vektor, "und die Einbindung von Proxies in Botnets macht engagierte Teams Moderatoren anderer schädlicher Aktionen. Verteidigung erfordert nicht nur Technologie, sondern Prozesse und operative Disziplin: gute Hygiene in Konfigurationen, kontinuierliche Überwachung und schnelle Reaktion, wenn ausländische Verhaltensweisen auftreten.
Wenn Sie den Hintergrund und die technische Analyse vertiefen möchten, sollten Sie die Berichte und Blogs von Unternehmen überprüfen, die diese Bedrohungen untersuchen - zum Beispiel Publikationen von Darkness, die Intelligenzanalyse Lumen Black Lotus Labs und Berichte von spezialisierten Laboratorien wie Seqrit Labs- und diese Lesung mit Medien und technischer Abdeckung in spezialisierten Medien wie Bleping Computer die Entwicklung des Falles zu verfolgen.
Sicherheitswarnung Droge kritische Schwachstelle der SQL-Injektion in PostgreSQL erfordert sofortige Aktualisierung
Drucal hat Sicherheitsupdates für eine Sicherheitsanfälligkeit veröffentlicht, die als "hochkritisch" die Auswirkungen Drumal Core und ermöglicht es einem Angreifer, willkürlich...
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...