Новая версия ботнета Chaos осваивает облачные серверы и обзаводится прокси-функционалом для сложных атак

Исследователи компании Darktrace, специализирующейся на искусственном интеллекте для кибербезопасности, зафиксировали обновлённую версию вредоносной программы Chaos, которая демонстрирует тревожную эволюцию. Ранее этот ботнет, предположительно китайского происхождения, атаковал в основном маршрутизаторы и устройства интернета вещей. Теперь же злоумышленники адаптировали его для компрометации полноценных Linux-серверов в облачных средах, добавив функцию скрытого прокси-сервера. Это превращает заражённые системы не только в инструмент для DDoS-атак, но и в плацдарм для более изощрённых и труднообнаружимых операций.

Описание

Активность обновлённого Chaos была обнаружена в рамках глобальной сети ловушек, или honeypot, под названием CloudyPots, которую Darktrace использует для мониторинга поведения злоумышленников в реальном времени. Эти системы имитируют уязвимые сервисы, привлекая атакующих и позволяя аналитикам изучать их тактики. В частности, одна из ловушек была настроена как неправильно сконфигурированный экземпляр Hadoop - популярного фреймворка для распределённой обработки больших данных. Именно через уязвимость в таком сервисе в марте 2026 года и произошло заражение.

Атака начиналась с отправки злоумышленником специального запроса к конечной точке Hadoop для создания нового приложения. В параметрах этого запроса был скрыт контейнер с командой для выполнения. Эта команда, в свою очередь, инициировала цепочку действий в оболочке операционной системы. Сначала с контролируемого злоумышленниками сервера загружался исполняемый файл агента Chaos, затем ему назначались полные права на выполнение, после чего вредонос запускался и тут же удалялся с диска для затруднения последующего forensic-анализа. Сервер, использовавшийся для доставки полезной нагрузки, ранее уже фигурировал в другой кампании под названием "Operation Silk Lure", которая распространяла троян удалённого доступа ValleyRAT через поддельные резюме о работе.

Сама вредоносная программа, написанная на языке Go, претерпела значительные изменения по сравнению с ранее известными образцами. Аналитики Darktrace в своём отчёте отмечают, что, хотя основные функции для организации распределённых атак на отказ в обслуживании сохранились, код был серьёзно переработан. Из него исчезли модули для распространения через подбор учётных данных SSH и эксплуатации уязвимостей, что может указывать на смену тактики или специализацию данной конкретной версии. Ключевым нововведением стала функция SOCKS5-прокси. Получив соответствующую команду от центра управления, заражённый сервер начинает прослушивать определённый TCP-порт и перенаправлять через себя трафик атакующего.

Этот новый функционал кардинально меняет потенциальный ущерб от компрометации. Если ранее заражённое устройство представляло угрозу преимущественно как участник "толпы" для обрушения сторонних ресурсов, то теперь оно становится ценных инструментом для скрытия активности. Используя прокси на взломанном сервере, злоумышленники могут маскировать истинный источник атак, обходить ограничения по частоте запросов и получать доступ к внутренним сегментам сети, которые видны только с этой системы. Таким образом, сервер превращается в невидимый шлюз для кражи данных, целевых атак или дальнейшего продвижения по корпоративной инфраструктуре. Эта тенденция к добавлению прокси-возможностей уже наблюдалась у других ботнетов, например, Aisuru, что говорит о формировании общего тренда среди киберпреступников по диверсификации монетизации и повышению скрытности.

Эволюция Chaos подчёркивает растущую угрозу для облачной инфраструктуры, безопасность которой зачастую отстаёт от темпов её внедрения. Традиционно ботнеты фокусировались на слабо защищённых устройствах на периметре сетей. Однако переход на эксплуатацию уязвимостей в таких сложных сервисах, как Hadoop, свидетельствует о том, что злоумышленники целенаправленно расширяют охват, включая в него бизнес-критичные системы обработки данных. Это делает своевременное исправление уязвимостей и строгую настройку конфигураций безопасности не просто рекомендацией, а обязательным условием для любой компании, использующей облачные технологии. Заражённый сервер теперь представляет не только репутационные и операционные риски из-за возможного участия в DDoS-атаках, но и становится прямым каналом утечки конфиденциальной информации или атаки на партнёров и клиентов.