« Ce logiciel malveillant est complexe, et sa taille a quadruplé en deux mois seulement. Cette tendance devrait d’ailleurs se poursuivre », a déclaré Mark Dehus, Director of Threat Intelligence pour Lumen Black Lotus Labs. « Chaos constitue une menace pour une grande variété d’appareils et de serveurs grand public ou d’entreprise. Nous leur recommandons vivement de renforcer leurs postures de sécurité en déployant des services comme SASE[1] ou destinés à l’atténuation des attaques DDoS. »

Principaux enseignements :
• Le malware Chaos exploite des vulnérabilités connues et permet à l’acteur de :
o Scanner le système cible pour le profiler en vue de futures exécutions de commandes
o Initier automatiquement un mouvement latéral et une propagation par le biais de clés privées Secure Shell (SSH) qui sont soit volées, soit obtenues par force brute.
o Lancer des attaques DDoS et lancer des opérations de cryptomining.
• Au début du mois de juin, les analystes ont découvert plusieurs groupes Chaos distincts écrits en chinois. Ces groupes s’appuient sur une infrastructure de commandement et de contrôle (C2) basée en Chine, qui s’est développée rapidement en août et septembre.
• L’acteur a compromis au moins un serveur GitLab et a lancé de nombreuses attaques DDoS sur des entreprises dans les secteurs des jeux-vidéo, des services financiers et de la technologie, des médias/divertissement, des cryptomonnaies et même des DDoS-as-a-Service.
• Black Lotus Labs estime que ce malware n’est pas lié au constructeur de ransomware Chaos découvert en 2021 ; le chevauchement du code et des fonctions suggère plutôt qu’il s’agit probablement de l’évolution de Kaiji, un malware DDoS découvert en 2020.

« Le malware Chaos cible des vulnérabilités connues », ajoute M. Dehus. « Nous recommandons aux administrateurs réseau d’assurer une gestion rigoureuse des correctifs et d’utiliser les IoC (indicateurs de compromission) décrits dans notre rapport pour surveiller les infections ou les connexions à des infrastructures suspectes. Les consommateurs et les télétravailleurs devraient activer les mises à jour automatiques des logiciels, mettre régulièrement à jour les mots de passe et redémarrer le matériel. »

Pourquoi c’est important :
• La prévalence des logiciels malveillants écrits en Go a considérablement augmenté ces dernières années en raison de leur flexibilité, de leur faible taux de détection par les antivirus et de leur difficulté à faire l’objet de rétro-ingénierie.
• Le malware Chaos est puissant car fonctionne sur une variété d’architectures, cible des appareils et des systèmes (par exemple, les routeurs SOHO et FreeBDS OS) qui ne sont pas régulièrement surveillés dans le cadre d’un modèle de sécurité d’entreprise, et se propage par le biais de vulnérabilités connues et de clés SSH qui sont soit volées, soit obtenues par force brute.

Réponse de Black Lotus Labs :
• Black Lotus Labs a neutralisé les C2 de Chaos à travers le backbone mondial de Lumen et a ajouté les IoC de cette campagne dans Rapid Threat Defense® - la fonctionnalité de détection et de réponse automatisée aux menaces qui alimente le portefeuille de Lumen Connected Security et bloquant les menaces avant qu’elles n’atteignent le réseau du client.
• L’équipe continuera à surveiller les nouvelles infrastructures, les activités de ciblage et l’expansion des tactiques, techniques et procédures (TTP), et à partager ces informations avec la communauté des chercheurs en sécurité.

Ressources supplémentaires :
• Renseignez-vous sur la récente découverte de ZuoRAT par le Black Lotus Lab, qui cible les routeurs SOHO.
• Découvrez comment le Black Lotus Labs exploite sa visibilité du réseau pour aider à protéger les clients de Lumen et à garder l’Internet « propre ».
• Pour d’autres recherches de Black Lotus Labs, consultez les archives de notre blog.
• Apprenez-en davantage sur la façon dont les services SASE et d’atténuation des attaques DDoS peuvent protéger votre entreprise.

À propos de Lumen Technologies et de ses collaborateurs : Lumen est guidé par notre conviction que l’humanité offre le meilleur quand la technologie fait progresser notre façon de vivre et de travailler. Avec un réseau de près de 725 000 km de fibre optique, des clients présents dans plus de 60 pays, Lumen dispose d’une plateforme rapide et sécurisée pour gérer les applications et les données afin d’aider les entreprises, les gouvernements et les communautés à offrir les meilleures expériences clients possibles.