Новая версия удалённого трояна Chaos RAT способная заражать как Windows, так и Linux-системы

По информации компании Acronis, вредоносная программа распространяется под видом легитимного инструмента для диагностики сетей в Linux-средах — потенциальные жертвы загружают файл с именем «NetworkAnalyzer.tar.gz», не подозревая об опасности.

Chaos RAT представляет собой кроссплатформенное средство удалённого доступа, написанное на языке Go и вдохновлённое такими инструментами, как Cobalt Strike и Sliver, пишут в Securitylab. Вредонос оснащён веб-панелью для администрирования, где злоумышленники могут создавать полезные нагрузки, управлять заражёнными машинами, запускать сессии и выполнять произвольные команды. Среди доступных функций — обратные шеллы, загрузка и удаление файлов, скриншоты, сбор информации о системе, блокировка и перезагрузка устройств, а также открытие произвольных URL-адресов.

Разработка Chaos RAT началась ещё в 2017 году, однако внимание он привлёк лишь в декабре 2022 года — тогда его впервые применили в атаках на публичные веб-приложения на Linux, устанавливая криптомайнер XMRig. Актуальная версия 5.0.3 вышла 31 мая 2024 года и активно используется в реальных атаках.

Эксперты Acronis обнаружили случаи заражения Linux-систем, в которых Chaos RAT доставлялся через фишинговые письма с вредоносными вложениями или ссылками. В некоторых случаях зловредный скрипт автоматически модифицировал планировщик задач в файле «/etc/crontab», обеспечивая таким образом сохранение доступа и повторную загрузку трояна.

Ранее в подобных атаках наблюдалась отдельная установка майнеров и Chaos RAT, что позволяет сделать вывод — изначально троян использовался преимущественно для разведки и сбора информации, а не непосредственного извлечения прибыли. Однако использование маскировки под сетевые инструменты указывает на желание атакующих повысить доверие к загрузке и обеспечить проникновение без подозрений.