研究人员警告针对Windows和Linux系统的新Go恶意软件

一种新的多功能Go恶意软件混乱近几个月来，其业务量迅速增长，将大量Windows、Linux、小型办公室/家庭办公室（SOHO）路由器和企业服务器纳入其僵尸网络。

Lumen's Black Lotus实验室的研究人员在与the Hacker News分享的一篇文章中表示：“混乱功能包括枚举主机环境、运行远程shell命令、加载其他模块、通过窃取和暴力强制SSH私钥自动传播以及发起DDoS攻击的能力”。

大多数机器人位于欧洲，特别是意大利，中国和美国也报告了其他感染，在2022年6月中旬至7月中旬的一个月期间，总共代表了“数百个唯一IP地址”。

僵尸网络用中文编写，利用中国的基础设施进行指挥和控制，它加入了一长串恶意软件的行列，这些恶意软件旨在建立长时间的持久性，并可能滥用其立足点进行邪恶的目的，如DDoS攻击和加密货币挖矿。

如果有什么不同的话，这一发展还表明，威胁行为体急剧增加，转而使用Go等编程语言来逃避检测，并使反向工程变得困难，更不用说同时针对多个平台了。

混沌（不要与同名勒索软件构建者混淆）名副其实，利用已知的安全漏洞获得初始访问，随后滥用它进行侦察，并在受损网络中发起横向移动。

更重要的是，该恶意软件具有类似恶意软件所不具备的多功能性，使其能够在ARM、Intel（i386）、MIPS和PowerPC等多种指令集架构中运行，有效地允许威胁行为体扩大其目标范围并迅速增加数量。

除此之外，Chaos还能够执行从C2服务器发送的多达70个不同命令，其中一个命令是触发利用文件中定义的公开漏洞（CVE-2017-17215和CVE-222-30525）的指令。

对野外发现的大约100个样本的分析表明，僵尸网络活动的最早证据是2022年4月。此后，人们发现，该恶意软件不仅针对企业服务器和大型组织，还针对未定期监控的设备，如SOHO路由器和FreeBSD OS。

混沌也被认为是另一个名为Kaiji的基于Go的DDoS恶意软件的演变，该恶意软件以前针对错误配置的Docker实例。根据Black Lotus Labs的说法，这些相关性源于重叠的代码和函数，包括可以在受感染的设备上运行任意命令的反向shell模块。

该公司表示，位于欧洲的一台GitLab服务器是9月前几周Chaos僵尸网络的受害者之一，并补充称，该公司发现了一系列针对游戏、金融服务、技术、媒体和娱乐以及主机提供商等实体的DDoS攻击。另一个目标是加密采矿交易所。

就在这家网络安全公司曝光一个名为ZuoRAT的新远程访问木马三个月前，该木马专门针对SOHO路由器，这是针对北美和欧洲网络的复杂活动的一部分。

Lumen Black Lotus实验室威胁情报主管Mark Dehus表示：“我们正在看到一个复杂的恶意软件，其规模在短短两个月内翻了四倍，而且它已经做好了继续加速的准备”。“混乱对各种消费者和企业设备和主机构成威胁”。