详细内容或原文请订阅后点击阅览
Chaos 恶意软件从路由器扩展到 Linux 云服务器
Chaos 是基于 Go 的恶意软件,最初由 Lumen 的 Black Lotus Labs 记录,历史上曾针对路由器和边缘设备。 2026 年 3 月观察到的一个新变体显示,该恶意软件针对配置错误的 Linux 云服务器运行,这是僵尸网络之前未优先考虑的一类基础设施。 Darktrace 的恶意软件研究团队通过其 CloudyPots 程序记录了这一危害,该程序是该公司运行的一个全球蜜罐网络,旨在捕获跨一系列服务和云平台的攻击者行为。一个蜜罐……更多→Chaos 恶意软件从路由器扩展到 Linux 云服务器的帖子首先出现在 Help Net Security 上。
来源:Help Net Security _云安全Chaos 是基于 Go 的恶意软件,最初由 Lumen 的 Black Lotus Labs 记录,历史上曾针对路由器和边缘设备。 2026 年 3 月观察到的一个新变体显示,该恶意软件针对配置错误的 Linux 云服务器运行,这是僵尸网络之前未优先考虑的一类基础设施。
Darktrace 的恶意软件研究团队通过其 CloudyPots 程序记录了这一危害,该程序是该公司运行的一个全球蜜罐网络,旨在捕获跨一系列服务和云平台的攻击者行为。该网络中的一个蜜罐运行 Apache Hadoop,这是一种开源分布式数据处理框架,故意错误配置以允许远程代码执行。这种错误配置为攻击者提供了立足点,并为研究人员提供了更新后的恶意软件的记录。
攻击是如何展开的
入侵始于对 Hadoop 部署的资源管理器端点的 HTTP 请求。该请求定义了一个新应用程序并嵌入了一系列 shell 命令。这些命令从攻击者控制的服务器中提取混沌代理二进制文件,设置权限,执行二进制文件,然后将其从磁盘中删除。删除步骤限制了执行后的取证恢复。
初始感染被传送到不安全的端点(来源:Darktrace)
该二进制文件由 pan[.]tenire[.]com 提供,该域先前链接到“丝绸诱饵行动”,这是一项通过恶意工作申请附件分发 ValleyRAT 远程访问木马的独立活动。该活动在整个阶段还包含大量中文字符串。
恶意软件发生了什么变化
核心功能集保持不变。该恶意软件使用 systemd 建立持久性,并将保持活动脚本存储在磁盘上。存在 DDoS 攻击功能,支持 HTTP、TLS、TCP、UDP 和 WebSocket 协议。
通过嵌入式域 gmserver[.]osfc[.]org[.]cn 访问命令和控制服务器,该域在分析时解析为位于香港的 IP 地址。