Новий бекдор ChaosBot, написаний на Rust і керований через платформу Discord, зафіксований дослідниками eSentire у мережі клієнта з фінансової галузі наприкінці вересня 2025 року. Інструмент поєднує фішингові LNK-приманки, використання викрадених облікових даних та приховане керування через популярні сервіси, що ускладнює його виявлення традиційними засобами безпеки.
Виявлення та контекст загрози
За даними eSentire, ChaosBot використовує Discord як C2, створюючи окремий канал під ім’я кожного скомпрометованого хоста для отримання команд і телеметрії. Дослідники пов’язують активність з акаунтами chaos_00019 і lovebb0024. Вибір Rust як мови розробки ускладнює статичний аналіз і знижує ефективність сигнатурних детекторів, що відповідає загальному тренду на складніші й більш «мовчазні» бекдори.
Початковий доступ: LNK-фішинг і валідні облікові записи
Первинний доступ базувався на викрадених облікових записах, придатних для авторизації у Cisco VPN і для привілейованого service account у Active Directory (ATT&CK: Valid Accounts). Паралельно застосовувалися LNK-вкладення у фішингових розсилках (ATT&CK: Spearphishing Attachment). Після відкриття ярлика виконувалася PowerShell-команда для завантаження та запуску ChaosBot, тоді як користувачу показували підроблений PDF, що імітує лист Державного банку В’єтнаму, аби відволікти увагу.
Маскування під компоненти Edge та закріплення через FRP
Основна корисна DLL msedge_elf.dll підвантажувалася через легітимний процес Microsoft Edge identity_helper.exe, що допомагає «жити» всередині довірених процесів і зменшувати шум у телеметрії (ATT&CK: DLL Side-Loading). Після старту ChaosBot виконує системну розвідку і розгортає Fast Reverse Proxy (FRP) для стабільного віддаленого доступу з внутрішньої мережі назовні (ATT&CK: Proxy).
Discord C2: канали на хост і ключові можливості
У межах Discord C2 кожна скомпрометована машина отримує окремий канал, куди оператори надсилають інструкції. Спостерігається виконання довільних команд, збір відомостей про систему та керування допоміжними компонентами на кшталт FRP. Використання популярної платформи маскує C2-трафік під звичайну взаємодію користувачів із хмарним сервісом (ATT&CK: Web Protocols), ускладнюючи детектування без поглибленої мережевої інспекції.
Ухилення від захисту: обход ETW і анти-VM перевірки
Дослідники зафіксували патчинг ntdll!EtwEventWrite — модифікацію перших інструкцій на «return», що приглушує подієву телеметрію Windows і знижує ефективність EDR/ETW-сигнатур (ATT&CK: Impair Defenses). Додатково впроваджено анти-VM перевірки на основі префіксів MAC-адрес, характерних для VMware і VirtualBox: за збігом ChaosBot завершує роботу, уникаючи динамічного аналізу (ATT&CK: Virtualization/Sandbox Evasion).
Альтернативні канали: спроба використати VS Code Tunnel
Окрім Discord та FRP, зловмисники прагнули задіяти Visual Studio Code Tunnel як резервний канал команд. Попри невдалу реалізацію, вибір інструмента підкреслює тенденцію до використання легітимних сервісів розробників для прихованого доступу та ексфільтрації.
Оцінка ризиків і практичні кроки захисту
Поєднання валідних облікових записів, WMI для віддаленого виконання в домені (ATT&CK: WMI), DLL-підвантаження, FRP і Discord C2 створює низькошумний, але стійкий ланцюг атак, особливо небезпечний для організацій із широкими правами сервісних акаунтів. Рекомендовано: примусове MFA для VPN і адмінських облікових записів; ротація та мінімізація прав service accounts; жорсткі політики для LNK-вкладень (блокування ззовні, безпечні контейнери, навчання персоналу); вмикання Defender ASR, обмеження PowerShell (Constrained Language Mode, повне логування Script Block/Module/Transcription).
Моніторинг трафіку та мисливство за загрозами
Варто проксіювати й інспектувати egress-трафік до Discord API або блокувати його за політикою; відпрацювати детектування аномального Discord/Webhook-трафіку. Запровадити контроль цілісності системних бібліотек і виявлення патчингу EtwEventWrite; мисливські правила на інжекції в процеси Edge та нетипові завантаження DLL (msedge_elf.dll через identity_helper.exe). Окремо інвентаризувати та обмежити FRP і VS Code Tunnel у корпоративному середовищі, забороняючи «тіньові» тунелі.
ChaosBot показує, як поєднання LNK-фішингу, валідних облікових даних і Discord C2 дозволяє швидко закріплюватися у мережі з мінімальними артефактами. Організаціям варто переглянути політики щодо вкладень і споживчих платформ, посилити мисливство за загрозами навколо PowerShell, WMI та «тихих» зворотних проксі, а також стежити за аналітикою eSentire та інших провідних команд, щоб своєчасно отримувати IOC і нові TTP супротивника.
