Security Affairsは6月5日(現地時間)、「New versions of Chaos RAT target Windows and Linux systems」において、WindowsおよびLinuxを標的とするマルウェア「Chaos RAT」の新しい亜種が発見されたと伝えた。

Acronisにより特定されたこの亜種は、Linux用のネットワークトラブルシューティングツールに偽装して配布されたとみられている。

  • New versions of Chaos RAT target Windows and Linux systems

    New versions of Chaos RAT target Windows and Linux systems

オープンソースソフトウェアを武器化

Chaos RATは正規の遠隔操作ツール「CHAOS」を悪用したマルウェアとされる。2017年に開発が始まったCHAOSはオープンソースソフトウェア(OSS)として公開されており、「GitHub - tiagorlampert/CHAOS: :fire: CHAOS is a free and open-source Remote Administration Tool that allow generate binaries to control remote operating systems.」からソースコードを入手することができる。

サイバー攻撃への利用を目的としたソフトウェアではないが、オープンソースということもあり、2022年ごろからマルウェアとしての悪用が確認されている。

Acronisが6月4日(現地時間)に公開したレポート「From open-source to open threat: Tracking Chaos RAT’s evolution」によると、新しい亜種はインドからVirusTotalに報告された「NetworkAnalyzer.tar.gz」というファイルに含まれていたとされる。

通常このマルウェアはフィッシングメールを介して配布されることが多く、インドのケースにおいてもソーシャルエンジニアリング攻撃の過程でネットワークトラブルシューティングツールとしてダウンロードさせた可能性があると推測されている。

  • Chaos RATの一般的な侵害経路 - 引用:Acronis

    Chaos RATの一般的な侵害経路 引用:Acronis

影響と対策

新しい亜種からはコマンド&コントロール(C2: Command and Control)サーバのIPアドレスなどを難読化する変更が確認されており、簡易的ではあるものの検出の回避を試みた可能性がある。主な機能としてはファイル操作、リバースシェル、ネットワークプロキシ、スクリーンショットの窃取が確認されている。

Acronisは本件を「オープンソースソフトウェアの武器化」の象徴的な事例だと指摘。多くの脅威アクターがオープンソースソフトウェアを悪用している現状を解説し、今のオープンソースソフトウェアの在り方に疑問を投げかけている。

同社はこのような脅威からコンピューターを保護するために、Windows、Linux、macOSをサポートするセキュリティソリューションの導入を推奨している。また、Chaos RATを検出するYARAルールを公開しており、必要に応じて活用することが望まれている。