Cyber Click Day - Richiedi il Voucher Personale per il 16 Aprile Scopri di più
Iscriviti al webinar gratuito del 28 Aprile per diventare Ethical Hacker! Scopri di più
Chaos colpisce il Cloud: nuove botnet sfruttano configurazioni errate e proxy SOCKS invisibili
I ricercatori di cybersecurity stanno osservando una nuova variante del malware Chaos che amplia in modo significativo il perimetro dei bersagli, puntando su deployment cloud configurati in modo errato. In passato Chaos era noto soprattutto per attacchi contro router e dispositivi edge, ma l’evoluzione recente mostra un interesse crescente verso ambienti cloud dove errori di configurazione possono aprire la strada a compromissioni rapide e difficili da attribuire.
Chaos è un malware multipiattaforma in grado di colpire sistemi Windows e Linux, eseguire comandi da remoto, scaricare moduli aggiuntivi, propagarsi, effettuare cryptomining e lanciare attacchi DDoS con più protocolli. Questa famiglia è stata associata come evoluzione di Kaiji, altro malware DDoS che aveva già dimostrato efficacia contro istanze Docker esposte o mal configurate. In questa nuova fase, però, la catena di attacco sfrutta servizi cloud vulnerabili per ottenere esecuzione di codice da remoto e installare l’agente malevolo.
L’attività osservata parte da una richiesta HTTP verso un servizio Hadoop deliberatamente mal configurato, usato come esca in un ambiente di analisi. Da lì viene creata una nuova applicazione che incorpora una sequenza di comandi shell per scaricare un binario Chaos da un server controllato dagli attaccanti, modificare i permessi in modo molto permissivo con chmod 777, eseguirlo e poi cancellare il file dal disco per ridurre le tracce forensi. Questo comportamento è tipico delle campagne che cercano velocità e persistenza operativa, limitando al contempo la visibilità per i team di difesa.
Il binario analizzato è un ELF a 64 bit ristrutturato e aggiornato. Pur mantenendo molte funzionalità principali, rimuove componenti che in precedenza permettevano la propagazione via SSH e lo sfruttamento di vulnerabilità nei router. Al loro posto emerge una novità rilevante per la sicurezza cloud e di rete: una funzione di proxy SOCKS. Questa capacità consente di trasformare i sistemi compromessi in nodi di inoltro del traffico, mascherando l’origine reale delle attività malevole e rendendo più complesso bloccare l’attacco tramite controlli basati su IP e reputazione.
L’aggiunta del proxy SOCKS indica anche una possibile strategia di monetizzazione del botnet più ampia rispetto a cryptomining e DDoS for hire, con la creazione di servizi illeciti basati su infrastrutture proxy alimentate da macchine compromesse nel cloud.