Исследователи кибербезопасности сообщили о появлении нового варианта малвари Chaos, который смещает фокус с домашних роутеров и периферийных устройств на неправильно настроенные облачные развертывания. Это указывает на системный тренд: ботнеты все активнее используют уязвимые облачные сервисы как мощную и анонимную инфраструктуру для своих операций.
Новая волна атак ботнета Chaos на облачную инфраструктуру
По данным компании Darktrace, обновленный ботнет Chaos был зафиксирован при атаке на их honeypot — намеренно неправильно сконфигурированный кластер Hadoop, допускавший удаленное выполнение кода. Такой тип ловушек имитирует реальные ошибки настройки в облаке, чтобы отследить поведение злоумышленников.
Атака начиналась с HTTP‑запроса к развертыванию Hadoop, в котором инициировалось создание нового приложения. Внутрь этой операции были внедрены цепочки оболочечных команд: загрузка бинарного файла агента Chaos с сервера злоумышленников pan.tenire[.]com, выдача ему максимальных прав с помощью «chmod 777», запуск и последующее удаление файла с диска для минимизации артефактов, доступных при цифровой экспертизе.
Подобные сценарии характерны для атак на облако: уязвимый или неправильно ограниченный сервис (Hadoop, Docker, Kubernetes и др.) используется как точка входа, после чего вредонос закрепляется и превращает облачный сервер в элемент ботнета.
Происхождение Chaos: эволюция Kaiji и возможная связь с китайскими группировками
Chaos malware впервые подробно описали аналитики Lumen Black Lotus Labs в 2022 году как кроссплатформенную малварь, ориентированную на Windows и Linux. Базовый функционал включал выполнение удаленных команд, загрузку дополнительных модулей, перебор SSH‑ключей для распространения, майнинг криптовалют и проведение DDoS‑атак по протоколам HTTP, TLS, TCP, UDP и WebSocket.
Исследователи связывают Chaos с дальнейшим развитием другого DDoS‑семейства — Kaiji, ранее нацеливавшегося в том числе на неправильно настроенные Docker‑инстансы. Определенный интерес вызывает инфраструктура угрозы: использование серверов на территории Китая и наличие китайских строк в коде позволили выдвинуть гипотезу о возможном китайском происхождении оператора ботнета, хотя окончательная атрибуция пока отсутствует.
Домены, задействованные в текущих атаках Chaos, пересекаются с прошлой активностью криминальной группы Silver Fox, которая применяла тот же ресурс pan.tenire[.]com в фишинговых кампаниях для доставки документов‑приманок и малвари ValleyRAT. Исследователи Seqrite Labs связывали эту активность с операцией под кодовым названием Operation Silk Lure, что подчеркивает повторное использование преступниками проверенной инфраструктуры.
Технические изменения: отказ от самораспространения и новый SOCKS‑прокси
Загружаемый на скомпрометированные серверы файл представляет собой 64‑битный ELF‑бинарник — переработанную и обновленную версию Chaos. По данным Darktrace, большая часть ключевого функционала сохранена, однако архитектура и отдельные модули были заметно изменены, а фрагменты кода, ранее ассоциировавшиеся с Kaiji, переписаны или глубоко рефакторены.
Наиболее важное изменение — удаление функционала самораспространения, включая перебор SSH‑учетных данных и эксплуатацию уязвимостей роутеров. Вместо этого в новый вариант Chaos добавлена встроенная поддержка SOCKS‑прокси. Это означает, что зараженный сервер может выступать узлом для транзита трафика злоумышленников.
SOCKS‑прокси позволяет прокидывать практически любой сетевой трафик через компрометированную машину, скрывая реальные IP‑адреса атакующих. Для защитников это усложняет атрибуцию инцидентов: внешне атаки исходят с легитимных облачных адресов, принадлежащих уважаемым провайдерам, тогда как истинные источники находятся на несколько «прыжков» глубже.
Монетизация ботнета и новые риски для организаций
Добавление SOCKS‑прокси указывает на смену модели монетизации. Если ранее основными источниками дохода были майнинг криптовалют и услуги DDoS‑for‑hire (DDoS‑атаки по заказу), то теперь операторы Chaos могут предлагать прокси‑сервисы на теневом рынке. Аналогичный тренд фиксируется и у других ботнетов, например, AISURU, где прокси‑функции становятся ключевыми.
Для компаний это означает, что взломанный облачный сервер может использоваться не только для DDoS‑атак, но и как анонимный шлюз для фишинга, взломов, обфускации командных серверов и обхода гео‑ и IP‑блокировок. В результате организация рискует столкнуться с блокировкой своих IP‑адресов, репутационными и юридическими последствиями, даже если ее собственные данные напрямую не были украдены.
Как защитить облачную инфраструктуру от Chaos и подобных ботнетов
Безопасная конфигурация и управление доступом
Ключевой фактор успешных атак Chaos — ошибки конфигурации облачных сервисов. Рекомендуется ограничивать удаленное выполнение кода в Hadoop, Docker, Kubernetes и других платформах, исключать анонимный доступ и применять принцип наименьших привилегий. Панели управления и админские интерфейсы должны быть изолированы в закрытых сегментах сети и защищены многофакторной аутентификацией.
Мониторинг аномалий и сетевого трафика
Необходимо использовать системы мониторинга и NDR/EDR‑решения, способные выявлять аномальное сетевое поведение: неожиданные исходящие соединения к редким доменам, резкий рост объемов трафика по TCP/UDP, всплески HTTP‑запросов к нетипичным ресурсам. Дополнительными индикаторами компрометации могут быть запуск утилит wget/curl с внешними URL, массовое применение «chmod 777» и появление неизвестных ELF‑файлов.
Управление уязвимостями и готовность к инцидентам
Регулярное обновление ОС и middleware, аудит безопасности конфигураций по бенчмаркам (например, CIS Benchmarks), а также отработка плана реагирования на инциденты позволяют существенно снизить вероятность успешного закрепления Chaos в инфраструктуре. Важно иметь актуальные резервные копии и проверенные сценарии быстрой изоляции скомпрометированных облачных узлов.
Эволюция ботнета Chaos демонстрирует, насколько быстро киберпреступники адаптируются к облачной среде и рыночному спросу на анонимизацию трафика. DDoS‑атаки больше не единственный и не главный риск: зараженный сервер может стать частью распределенной прокси‑сети, обслуживающей широкий спектр нелегальной активности. Организациям имеет смысл уже сейчас пересмотреть настройки своих облачных сервисов, усилить мониторинг и обучение специалистов, чтобы не превратить собственную инфраструктуру в инструмент чужих атак.
