Zahlreiche Angriffsfunktionen

Neue Malware infiziert hunderte Linux- und Windows-Rechner

Sicherheitsforscher haben eine neue plattformübergreifende Malware entdeckt, die zahlreiche Linux- und Windows-Geräte infiziert hat. Davon betroffen sind nicht nur große Unternehmensserver, sondern auch kleine Büro-Router und FreeBSD-Boxen.
Von 
CSO | 29. September 2022 13:55 Uhr
Die Chaos-Malware verbreitet sich durch die Ausnutzung von bekannten Schwachstellen und Brute-Forcing sowie gestohlene SSH-Schlüssel.
Die Chaos-Malware verbreitet sich durch die Ausnutzung von bekannten Schwachstellen und Brute-Forcing sowie gestohlene SSH-Schlüssel.
Foto: archy13 - shutterstock.com

Black Lotus Labs, die Security-Forschungsabteilung von Lumen Technologies stieß kürzlich auf eine Schadsoftware, die sowohl für Windows als auch für Linux entwickelt wurde. Die Forscher nennen die Malware "Chaos", da dieser Begriff immer wieder in Funktionsbezeichnungen, Zertifikate und Dateinamen auftaucht. Laut Forschungsbericht ermöglicht die Chaos-Malware es den Angreifern, alle Host-Geräte aufzuzählen, Remote-Shell-Befehle auszuführen, zusätzliche Module zu laden und DDoS-Angriffe zu starten.

Im Rahmen ihrer Analyse entdeckten die Forscher mehrere Chaos-Cluster mit verschiedenen Angriffszielen. Dazu zählt ein erfolgreich kompromittierter GitLab-Server sowie eine Flut von jüngsten DDoS-Angriffen, die auf die Spiele-, Finanzdienstleistungs- und Technologie- sowie die Medien- und Unterhaltungsbranche abzielten. Zudem hätte es Angriffe auf DDoS-as-a-Service-Anbieter und eine Krypto-Mining-Börse gegeben.

Europa am stärksten betroffen

Hinter der Malware stecken offenbar chinesische Hacker, da sich die Command-and-Control-Infrastruktur laut Black Lotus Labs in China befindet. Nach eigenen Angaben identifizierte das Forscherteam von Juni bis Mitte Juli hunderte IP-Adressen, hinter denen kompromittierte Chaos-Geräte steckten. Die Forschungsergebnisse weisen darauf hin, dass sich die infizierten Geräte vor allem in Europa befinden. Zudem gab es auch Hotspots in Nord- und Südamerika sowie im asiatisch-pazifischen Raum.

Den Analysten zufolge ergibt sich die Potenz der Chaos-Malware aus einigen Faktoren: "Zum einen ist sie so konzipiert, dass sie auf mehreren Architekturen funktioniert, darunter ARM, Intel (i386), MIPS und PowerPC - zusätzlich zu den Betriebssystemen Windows und Linux. Zum anderen breitet sich Chaos im Gegensatz zu groß angelegten Ransomware-Verteilungs-Botnets wie Emotet, durch bekannte CVEs und Brute-Force sowie gestohlene SSH-Schlüssel aus."

Die Sicherheitsexperten gehen davon aus, dass Chaos ein Ableger von Kaiji ist. Dabei handelt es sich um eine Botnet-Struktur, die es auf Linux-basierte AMD- und i368-Server abgesehen hat und für DDoS-Angriffe genutzt wird.

Lesetipps: Neue SYSRV-Botnet-Variante - Microsoft warnt vor neuer Windows- und Linux-Bedrohung

Trend Micro - Linux im Fadenkreuz von Cyberkriminellen

Julia Mutzbauer ist  Editor bei CSO. Ihr Schwerpunkt ist Security.