資安業者 eSentire 近期發現名為
ChaosBot 的新型後門程式,
這款以 Rust 開發的惡意軟體讓駭客能在受害主機上執行任意指令並進行偵察。該公司於 2025 年 9 月底,在一家金融服務客戶的環境中首次偵測到此威脅。
攻擊手法與傳播途徑
駭客首先取得遭洩露的憑證,這些憑證同時對應 Cisco VPN 帳號與權限過高的 Active Directory 帳號「serviceaccount」。透過被入侵的帳號,攻擊者利用 WMI(Windows Management Instrumentation)在網路中的多個系統執行遠端指令,部署並執行 ChaosBot。
ChaosBot 也透過網路釣魚訊息散布。這些訊息包含惡意的 Windows 捷徑檔案(LNK)。受害者開啟 LNK 檔案後,系統會執行 PowerShell 指令下載並執行 ChaosBot,同時顯示偽裝成越南國家銀行正式信件的誘餌 PDF 文件以分散注意力。
技術特徵與運作機制
ChaosBot 最顯著的特點是利用 Discord 平台作為命令與控制(C2)通道,軟體的名稱來自攻擊者 Discord 帳號「chaos_00019」,該帳號負責向受感染裝置發送遠端指令。而另一個相關帳號為「lovebb0024」。
惡意程式本體是名為「msedge_elf.dll」的 DLL 檔案,透過 Microsoft Edge 的「identity_helper.exe」執行檔進行側載(sideloading)。載入後會執行系統偵察,並下載快速反向代理工具(FRP),在受害網路中建立反向代理通道以維持持續存取。
ChaosBot支援多項指令,包括:
- shell:透過 PowerShell 執行 shell 指令
- scr:擷取螢幕畫面
- download:下載檔案到受害裝置
- upload:將檔案上傳至 Discord 頻道
eSentire 指出,ChaosBot 的新變種採用規避技術來繞過 Windows 事件追蹤(ETW)與虛擬機器偵測。第一種技術是修補 ntdll!EtwEventWrite 函式的前幾個指令(xor eax, eax → ret)。第二種技術則是檢查系統的 MAC 位址,比對已知的 VMware 和 VirtualBox 虛擬機器 MAC 位址前綴,若發現相符就會終止執行。
Chaos 勒索軟體新變種威脅升級
Fortinet 旗下威脅情資中心 FortiGuard Labs 揭露了 Chaos 勒索軟體的新變種
Chaos-C++。這個以 C++ 撰寫的版本新增破壞性功能,會直接刪除大型檔案而非加密。此外,它還
會竊取剪貼簿內容,將比特幣錢包位址替換成攻擊者控制的位址,藉此劫持加密貨幣轉帳。
Fortinet 指出,這種結合破壞性加密與隱密金融竊取的雙重策略,顯示 Chaos 已演變為更具攻擊性的多面向威脅,目的是將財務獲利最大化。
Chaos-C++ 運作流程
Chaos-C++ 勒索軟體下載器會偽裝成 System Optimizer v2.1 等假冒工具程式,誘騙使用者安裝。先前的 Chaos 勒索軟體變種(如 Lucky_Gh0$t)也曾偽裝成 OpenAI ChatGPT 和 InVideo AI 散布。
程式啟動後會檢查「
%APPDATA%\READ_IT.txt」檔案是否存在。若存在,表示勒索軟體已在該機器執行過,此時會進入監控模式持續監視系統剪貼簿。
若檔案不存在,Chaos-C++ 會檢查是否具備管理員權限。若有權限,程式會執行一系列指令來阻止系統復原,接著啟動加密程序。該惡意軟體會完整加密小於 50 MB 的檔案,跳過 50 MB 至 1.3 GB 的檔案(可能基於效率考量),並直接刪除大於 1.3 GB 檔案的內容。
Fortinet 指出,Chaos-C++ 採用多層加密策略:結合對稱與非對稱加密方法,並配備備用的 XOR 加密程序。其多功能下載器確保惡意程式能成功執行,而這些手法讓勒索軟體更加穩固且難以阻擋。
本文轉載自 TheHackerNews。