Chaos は Golang ベースのマルウェア:複数の CPU にまたがり Windows/Linux に感染

Researchers Warn of New Go-based Malware Targeting Windows and Linux Systems

2022/09/28 TheHackerNews — この数カ月にわたり、Chaos と呼ばれる多機能な Go ベースの新たなマルウェアが、Windows/Linux/SOHO ルーター/企業サーバーなどをボットネットに取り込み、その勢力を急速に拡大している状況が明らかになった。Lumen の Black Lotus Labs の研究者たちは、「Chaos の機能には、ホスト環境の列挙/リモートシェル・コマンドの実行/追加モジュールのロード/SSH 秘密鍵の窃盗/ブルートフォースによる自動伝播などに加えて、DDoS 攻撃の設定も含まれている」 と、The Hacker News に述べている。

ボットの大部分はヨーロッパに、特にイタリアに展開され、その他には中国と米国での感染が報告されている。2022年6月中旬〜7月中旬の1ヶ月間に、数百のユニークな IP アドレスに展開されているという。

このボットネットでは中国語が用いられ、中国を拠点とするインフラを Command & Control (C2) として活用している。DDoS 攻撃や暗号通貨マイニングなどの悪意の目的のために足場を確立し、長期間にわたって持続するよう設計されたマルウェアの、長大なブラックリストに加えられた。

今回の Chaos が示唆するのは、複数のプラットフォームを同時に標的とすることに加えて、検知を回避してリバース・エンジニアリングを困難にするために、Go などのプログラミング言語への移行が劇的に増加していることである。


Chaos は、その名の通り、既知の脆弱性を悪用してイニシャル・アクセスを行い、その後に偵察を行い、侵入したネットワーク上で横方向の動きを開始させるものである。

さらに、このマルウェアには、ARM/Intel (i386)/MIPS/PowerPC といった幅広い命令セット・アーキテクチャで動作するという、類似のマルウェアにはない汎用性があるため、脅威アクターたちはターゲットの範囲を広げ、迅速かる大量に発生させることが可能となる。

その上で Chaos は、C2 サーバーから送信される 70種類ものコマンドを実行する能力を備えており、そのうちの1つは、公知の脆弱性 CVE-2017-17215/CVE-2022-30525 を悪用するための命令となっている。

なお、以前から Chaos は、Docker インスタンスのミスコンフィグレーショを標的とした、Kaiji という Go ベースの DDoS マルウェアから進化したものだと考えられている。Black Lotus Labs によると、この相関関係は、100以上のサンプルの分析に基づく、コードと機能の重複に基づいている。

同社は、9月の初旬に、Chaos ボットネットの犠牲者として、ヨーロッパにある GitLab サーバーを挙げている。さらに言うと、ゲーム/金融/テクノロジー/メディア・エンターテインメント/ホスティング・プロバイダー/暗号通貨取引所などの、多様な事業体を狙った一連の DDoS 攻撃も確認したと発表している。

Black Lotus Labs の調査結果は、ZuoRAT と呼ばれる新たな RAT が公開された、ちょうど 3ヶ月後に行われた。ZuoRAT は、北米とヨーロッパのネットワークを狙う巧妙なキャンペーンの一環として、SOHO ルーターを選び出した。

Lumen Black Lotus Labs の Director of Threat Intelligence である Mark Dehus は、「私たちは、わずか 2 か月で 4 倍の規模に成長した複雑なマルウェアを見ており、今後も加速する可能性が十分にある。Chaos は、消費者や企業の様々なデバイスやホストに脅威を与えている」と述べている。

まず、Chaos という名前ですが、同名のランサムウェア・ビルダーがあので混同しないようにと、注意書きがありました。本題の Golang ベースという点ですが、2021年7月27日の「攻撃者たちが Go / Rust / Nim / DLang を使うのは何故なのか?」には、「Google が開発した Go は、C言語ファミリーに属しているが、よりシンプルな構文を持っている。すべての主要 OS でクロス・コンパイルが可能であり、Android / JavaScript / WebAssembly にも対応している」と記されています。このような理由から、マルチ・プラットフォームである Golang ベースの、リモート・アクセス・トロイの木馬 (RAT) などが増えてきているようです。Chaos も、その1つなのでしょう。