Новые уязвимости Chaos RAT: угроза безопасности Windows и Linux

Источник: www.acronis.com
Исследователи в области кибербезопасности из Acronis TRU выявили свежие варианты Chaos RAT — троянской программы удаленного доступа (Remote Access Trojan), которая продолжает эволюционировать с момента своего появления в 2022 году. Этот кроссплатформенный инструмент, написанный на Golang, стал излюбленным решением злоумышленников благодаря открытости исходного кода и широкому функционалу. Последние данные свидетельствуют о серьезной уязвимости в веб-панели Chaos RAT, которая представляет значительную угрозу для безопасности скомпрометированных систем.
Общие характеристики Chaos RAT
Chaos RAT обеспечивает поддержку как Windows, так и Linux, что значительно расширяет сферу потенциальных жертв. Основные методы заражения включают фишинг и использование вредоносных скриптов, нацеленных на модификацию системных файлов для сохранения присутствия в системе:
- Изменение файла
/etc/crontabв Unix-подобных системах для обеспечения механизмов постоянного повторного запуска - Использование файлов
tar.gz, замаскированных под утилиты для устранения неполадок в сети, для заманивания пользователей к загрузке
Эта тактика позволяет злоумышленникам поддерживать контроль над заражённой машиной без необходимости постоянного доступа или повторного заражения.
Функциональность и архитектура
Архитектура Chaos RAT включает административную панель, предоставляющую хакерам широкие возможности:
- Управление сессиями и создание полезной нагрузки (payload)
- Мониторинг состояния системы в режиме реального времени
- Выполнение множества команд и операций с файлами на обеих операционных системах
- Обратный доступ к командной строке и проксирование сетевого трафика
Эти функции служат следующим целям:
- Сбору разведывательных данных и утечке информации
- Подготовке плацдарма для последующих атак, в том числе внедрения ransomware
Критическая уязвимость в веб-панели
Особое внимание в отчёте уделено обнаруженной критической уязвимости в функции BuildClient. Эта функция позволяет аутентифицированным пользователям вводить команды, которые затем исполняются на сервере. Проблема заключается в недостаточной проверке вводимых данных, что позволяет злоумышленникам внедрять произвольный код посредством межсайтового скриптинга (XSS) в панели администратора.
Это значит, что хакеры могут использовать собственный инструмент против его операторов, ломая систему управления и получая полный контроль над сервером. Данный аспект подтверждает, насколько важным является безопасность самих инструментов кибератак.
Открытый исходный код и последствия
Особенностью Chaos RAT является открытый исходный код, что усложняет выявление конкретных авторов атак и позволяет различным злоумышленникам модифицировать и использовать программное обеспечение в своих целях. Среди них отмечаются группы, известные как APT groups, вовлечённые в длительные и целенаправленные кампании.
Детекция и защита
По последним данным, решения Acronis Cyber Protect Cloud успешно обнаруживают компоненты Chaos RAT в смешанных операционных средах, используя возможности платформы MITRE ATT&CK framework. Это предоставляет специалистам по кибербезопасности полезную информацию для анализа и реагирования.
Улучшенная поддержка EDR (Endpoint Detection and Response) для Linux-сред позволяет:
- Автоматически обнаруживать признаки активности Chaos RAT
- Останавливать вредоносные процессы
- Помещать обнаруженные объекты в карантин
Таким образом, современные инструменты защиты способны значительно снизить риски, связанные с эксплуатацией данного угрозы.
Заключение
Chaos RAT демонстрирует, как быстро развиваются угрозы в киберпространстве, становясь всё более совершенными и устойчивыми к обнаружению. Критические уязвимости в инструментах управления, такие как выявленная в 2025 году, показывают необходимость постоянного внимания к безопасности даже среди злоумышленников.
Эксперты Acronis предупреждают об актуальности мониторинга новых версий Chaos RAT и рекомендуют организациям использовать комплексные решения для обнаружения, анализа и нейтрализации вредоносного кода.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



