Распространенность вредоносных программ, написанных на языке программирования Go, резко возросла в последние годы благодаря его гибкости, низкой степени обнаружения антивирусами и сложности обратного инжиниринга. Black Lotus Labs, подразделение компании Lumen Technologies, занимающееся анализом угроз, недавно обнаружило многофункциональное вредоносное ПО на базе языка Go, разработанное как для Windows, так и для Linux, а также для широкого спектра программных архитектур, используемых в устройствах от маршрутизаторов для малого офиса/домашнего офиса (SOHO) до корпоративных серверов.
Lumen Technologies обнаружили и проанализировали около 100 образцов вредоносной программы, названной Chaos, которая была написана на китайском языке и использовала китайскую инфраструктуру для управления и контроля. Функциональные возможности Chaos включают в себя способность перечислять окружение хоста, выполнять удаленные команды shell, загружать дополнительные модули, автоматически распространяться путем кражи и перебора закрытых ключей SSH, а также запускать DDoS-атаки. Используя систему мониторинга глобальной сети Lumen, компания Black Lotus Labs определила C2 и цели нескольких отдельных кластеров Chaos, включая успешную компрометацию сервера GitLab и серию недавних DDoS-атак, направленных на игровую индустрию, финансовые услуги и технологии, СМИ и развлечения, а также на поставщиков DDoS-услуг и криптовалютную биржу.
Хотя инфраструктура ботнета сегодня сравнительно меньше, чем у некоторых ведущих семейств DDoS-вредоносных программ, Chaos продемонстрировал быстрый рост за последние несколько месяцев. Учитывая пригодность вредоносной программы Chaos для работы на различных потребительских и корпоративных устройствах, ее многоцелевую функциональность и скрытный профиль сетевой инфраструктуры, стоящей за ней, мы с умеренной уверенностью считаем, что эта активность - дело рук киберпреступника, который создает сеть зараженных устройств, чтобы использовать ее для первоначального доступа, DDoS-атак и добычи криптовалюты.
Indicators of Compromise
IPv4
- 103.214.140.15
- 103.254.72.193
- 104.208.104.44
- 104.208.110.120
- 104.244.78.243
- 112.132.215.95
- 137.175.17.80
- 154.19.202.14
- 154.211.21.221
- 155.94.141.226
- 156.254.126.18
- 169.129.117.68
- 172.93.101.107
- 180.76.101.231
- 194.36.170.149
- 20.187.95.103
- 205.185.125.40
- 216.250.106.198
- 23.224.132.58
- 23.225.194.65
- 23.226.76.122
- 43.142.157.239
- 45.125.44.237
- 45.125.44.251
- 47.242.15.186
- 47.99.44.19
- 5.180.44.53
IPv4 Port Combinations
- 112.132.212.55:8080
- 115.126.74.200:8888
- 154.209.91.133:1997
- 198.98.55.123:8080
- 20.90.110.121:8080
- 23.225.194.65:8080
- 43.155.37.192:9949
Domains
- bitantcoins.pro
- bb.hash3688.com
- Domain Port Combinations
- a.nqb001.com:36991
- abc.cfed.cc:8086
- ai.nqb001.com:7812
- are.nishabig.pro:7777
- ars1.wemix.cc:9090
- botnet.ddoswow.site:10010
- js.wanpay1.cn:8332
- kivspace.xyz:8567
- linuxddos.net:2323
- quanquandd.top:8888
- skyeda.vip:3580
- tf.xiaozhuddos.co:1997
- tomca1.com:10099
- x.xlg360.xyz:8087
- xiaomai233.f3322.net:8080
SHA256
- 2b935b3c308727d46ddd00ea776caeb1137a2cc3b43b055667dfdea42f98170a
- 3c908b576e0ddadb5c94122e8f11b6701201518fa99e6cc33f69f17168da6d88
- d315b83e772dfddbd2783f016c38f021225745eb43c06bbdfd92364f68fa4c56
- db412892acc683df340211b28ca3545d550e0a1de4bf0a2565b2b83bb31e0357
- e0e3d23222d71bbebae6afd37dcc436f9f5c8e56dd6ece8c8d63c162826dd99c
- ebe0f9855eb8f6bd980ed60c26e3a877dc1ace5d664e248bb0558996fe0bd06f
- fecfa6e2e6d4224082e09da7b42878f9e6ab9966a6f7a4cd120603f0bd59e72a