Chaos RAT: Эволюция, уязвимости и угрозы кибербезопасности 2025

Новые варианты Chaos RAT угрожают безопасности Linux и Windows систем

Acronis TRU провел детальный анализ троянской программы удаленного доступа (RAT) Chaos RAT, которая использует как Linux, так и Windows платформы, и выявил значительные изменения и усовершенствования в её архитектуре и функциях. Несмотря на первоначальное представление в 2022 году в качестве законного инструмента, в 2025 году появились новые варианты вредоносного ПО, обладающего высокоразвитыми возможностями для киберпреступной активности.

Основные особенности и угрозы Chaos RAT

Chaos RAT представляет собой сложное программное обеспечение с кроссплатформенной поддержкой, написанное на Golang. Оно предлагает злоумышленникам административную панель для управления полезной нагрузкой, установления сеансов и контроля скомпрометированных устройств. Ключевые аспекты, выявленные в отчете Acronis TRU, включают:

• Наличие критической уязвимости в веб-панели, позволяющей выполнять произвольный удаленный код на сервере с Chaos RAT.
• Распространение через фишинговые письма, содержащие вредоносные ссылки либо вложения.
• Использование системного планировщика задач для сохранения работоспособности и обновления полезной нагрузки без физического доступа к системе.
• Распространение новых вариантов через замаскированные архивы под утилиту устранения сетевых неполадок в Linux-среде.
• Поддержку команд, специфичных для операционной системы: управление выключением, перезагрузкой и манипуляциями с файлами.

Уязвимости и особенности реализации

Особый интерес вызывает функция BuildClient в серверной части Chaos RAT. Неправильная проверка вводимых данных открывает злоумышленникам возможность аутентифицированного выполнения произвольного кода на сервере. Кроме того, уязвимость межсайтового скриптинга (XSS) дает возможность внедрения вредоносных скриптов в данные агента, что свидетельствует о сложностях в безопасности платформы.

Другой важный аспект — открытый исходный код Chaos RAT, который позволяет злоумышленникам легко модифицировать и адаптировать инструмент под свои нужды, включая использование в шпионаже, краже данных и программах-вымогателях.

Связь с APT-группами и текущие тенденции в кибербезопасности

Стоит отметить, что низкий уровень обнаружения Chaos RAT и его универсальность делают его привлекательным инструментом для APT-групп, таких как APT41 и APT10, которые ранее применяли аналогичные RAT. Это подтверждает тенденцию объединения обычных киберпреступных тактик с более изощренными целенаправленными атаками, что затрудняет расследование инцидентов и выявление виновных.

Обновления и улучшения Chaos RAT, особенно в части конфигураций командования и контроля, отражают продолжающуюся гонку вооружений между злоумышленниками и специалистами по кибербезопасности.

Необходимость проактивной защиты

Для борьбы с подобными угрозами важны усовершенствованные стратегии обнаружения и устранения неполадок, реализованные в таких решениях, как Acronis EDR. Эксперты подчеркивают необходимость развития проактивных механизмов защиты, учитывающих эволюцию инструментов типа Chaos RAT, чтобы минимизировать риски и оперативно реагировать на инциденты.

Выводы

Chaos RAT демонстрирует, как легитимные инструменты могут трансформироваться в мощные средства киберпреступников благодаря открытости кода и наличию серьезных уязвимостей. В сочетании с элегантными методами распространения и эксплуатацией системных возможностей он становится серьезной угрозой как для корпоративных, так и для государственных инфраструктур.

Современные подходы к кибербезопасности должны учитывать постоянное обновление таких вредоносных инструментов и предусматривать многоуровневую защиту с точки зрения как технологии, так и процесса обнаружения и реагирования.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.