Исследователи Acronis TRU обнаружили новые варианты Chaos RAT - вредоносного ПО, изначально созданного как легитимный инструмент для удалённого администрирования. Первые случаи его использования в атаках зафиксированы ещё в 2022 году, но к 2025 году злоумышленники значительно модифицировали код, сделав его более опасным.
Описание
Chaos RAT написан на языке Golang, что обеспечивает кроссплатформенность: он работает как на Windows, так и на Linux. В последних атаках жертв заманивали на загрузку утилиты для диагностики сети, которая на самом деле содержала вредоносный код.
Одна из ключевых особенностей Chaos RAT - его открытый исходный код, что позволяет злоумышленникам легко адаптировать его под свои нужды. Исследователи также выявили критическую уязвимость (CVE-2024-30850) в веб-панели управления, позволяющую выполнять произвольные команды на сервере. Это превращает сам инструмент в цель для атак.
Функционал Chaos RAT включает сбор системной информации, скриншоты, управление файлами, выполнение команд и даже перезагрузку или выключение заражённых устройств. Хотя его использование пока ограничено, низкий уровень обнаружения делает его привлекательным для киберпреступников, в том числе для шпионажа, кражи данных и подготовки к атакам с ransomware.
Этот случай в очередной раз демонстрирует, как легитимные инструменты могут быть превращены в оружие. Открытый исходный код - это не только преимущество для разработчиков, но и риск, если ПО попадает в руки злоумышленников.
Индикаторы компрометации
SHA256
- 080f56cea7acfd9c20fc931e53ea1225eb6b00cf2f05a76943e6cf0770504c64
- 1e074d9dca6ef0edd24afb2d13ca4429def5fc5486cd4170c989ef60efd0bbb0
- 2732fc2bb7b6413c899b6ac1608818e4ee9f0e5f1d14e32c9c29982eecd50f87
- 44c54d9d0b8d4862ad7424c677a6645edb711a6d0f36d6e87d7bae7a2cb14d68
- 57f825a556330e94d12475f21c2245fa1ee15aedd61bffb55587b54e970f1aad
- 67534c144a7373cacbd8f9bd9585a2b74ddbb03c2c0721241d65c62726984a0a
- 719082b1e5c0d18cc0283e537215b53a864857ac936a0c7d3ddbaf7c7944cf79
- 773c935a13ab49cc4613b30e8d2a75f1bde3b85b0bba6303eab756d70f459693
- 77962a384d251f0aa8e3008a88f206d6cb1f7401c759c4614e3bfe865e3e985c
- 839b3a46abee1b234c4f69acd554e494c861dcc533bb79bd0d15b9855ae1bed7
- 8c0606db237cfa33fa3fb99a56072063177b61fa2c8873ed6af712bba2dc56d9
- 90c8b7f89c8a23b7a056df8fd190263ca91fe4e27bda174a9c268adbfc5c0f04
- a364ec51aa9314f831bc498ddaf82738766ca83b51401f77dbd857ba4e32a53b
- a583bdf46f901364ed8e60f6aadd2b31be12a27ffccecc962872bc73a9ffd46c
- a6307aad70195369e7ca5575f1ab81c2fd82de2fe561179e38933f9da28c4850
- c39184aeb42616d7bf6daaddb9792549eb354076b4559e5d85392ade2e41763e
- c8dc86afd1cd46534f4f9869efaa3b6b9b9a1efaf3c259bb87000702807f5844
- c9694483c9fc15b2649359dfbd8322f0f6dd7a0a7da75499e03dbc4de2b23cad
- d0a63e059ed2c921c37c83246cdf4de0c8bc462b7c1d4b4ecd23a24196be7dd7
