Autor:innen: Santiago Pontiroli, Gabor Molnar, Kirill Antonenko
Zusammenfassung
- Die Acronis Threat Research Unit (TRU) hat bei aktuellen Angriffen auf Linux und Windows neue Varianten der bekannten Malware-Familie Chaos RAT entdeckt.
- Chaos RAT ist ein Open Source Remote Administration Tool (RAT), das 2022 zum ersten Mal auftauchte. Die Malware entwickelte sich 2024 weiter und 2025 entdeckte TRU neue Varianten.
- Das TRU-Team hat eine kritische Schwachstelle in der webbasierten Konsole der Chaos RAT-Software entdeckt, die es Angreifern ermöglicht, Remote-Code auf dem Server auszuführen. Die neueste Chaos RAT-Variante scheint die Opfer dazu zu verleiten, ein Dienstprogramm zur Behebung von Netzwerkfehlern in Linux-Umgebungen herunterzuladen.
- Chaos RAT wurde in Golang entwickelt und bietet plattformübergreifende Kompatibilität mit Windows-und Linux-Systemen. Diese Variante ist ein weiteres anschauliches Beispiel dafür, wie Schwachstellen in nützlichen und legitimen Tools gezielt für cyberkriminelle Aktivitäten missbraucht werden können.
- Obwohl ihr Einsatz insgesamt begrenzt bleibt, bestätigen aktuelle Varianten, dass Chaos RAT weiterhin aktiv ist. Sein niedriges Erkennungsprofil bietet Gelegenheiten für Spionage, Datenexfiltration und die Einrichtung von Einstiegspunkten für Ransomware und weitere Aktivitäten nach einer Kompromittierung.
- In dieser technischen Analyse konzentriert sich das Acronis TRU-Team auf eine Linux-Variante und stellt umsetzbare Erkennungsstrategien vor, darunter YARA-Regeln, Kompromittierungsindikatoren und Tipps zur Bedrohungserkennung mit EDR, um diese Bedrohung abzuwehren.
Einleitung
Chaos RAT ist ein in Golang geschriebenes Open Source RAT, das plattformübergreifende Unterstützung für Windows- und Linux-Systeme bietet. Inspiriert von populären Frameworks wie Cobalt Strike und Sliver bietet das Chaos RAT eine Administrationskonsole, mit der Schaddaten generiert, Sitzungen erstellt und kompromittierte Maschinen kontrolliert werden können. Obwohl auf Golang basierende Malware in der Regel langsamer und größer ist als Malware, die in C++ oder anderen gängigen Sprachen geschrieben wurde, profitiert sie von den Cross-Compilation-Fähigkeiten von Golang, was zu kürzeren Entwicklungszeiten und größerer Flexibilität führt.

Ursprünglich als legitimes Remote-Management-Tool entwickelt, hat der Open-Source-Charakter der Chaos RAT-Software Bedrohungsakteure angezogen, die das Tool nun für böswillige Zwecke missbrauchen. Obwohl die Entwicklung bereits 2017 begann, erfolgte der erste nachweisliche Einsatz der Chaos RAT-Malware in realen Angriffen erst im November 2022. Seitdem tauchen immer wieder Linux-Varianten auf, die hauptsächlich in Krypto-Mining-Kampagnen eingesetzt werden. Diese Analyse befasst sich im Detail mit der Chaos RAT-Architektur, der Verwendung dieser Malware in aktiven Angriffen und den Methoden, wie diese Malware erkannt und bekämpft werden kann.
Anatomie der Chaos RAT-Malware: Code, Fähigkeiten und Kommunikation
Bereitstellung
Chaos RAT erreicht seine Opfer in der Regel über Phishing-E-Mails, die bösartige Links oder Anhänge enthalten. Die erste Variante führte ein schädliches Skript aus (das nichts mit dem RAT zu tun hatte). Das Skript zielte darauf ab, die Datei „/etc/crontab“ zu verändern. Das ist ein Taskplaner, der häufig von Eindringlingen missbraucht wird, um dauerhaft auf einem System zu bleiben. Dieser Mechanismus ermöglicht es Cyberkriminellen, die eigentlichen Schaddaten zu aktualisieren oder zu ändern, ohne erneut auf das Zielsystem zugreifen zu müssen, da die Datei bei jeder Ausführung von „cron“ aus der Ferne abgerufen wird. In den ersten Kampagnen wurde diese Technik zur getrennten Verbreitung von Krypto-Währungs-Minern und der Chaos RAT-Malware verwendet, was darauf hindeutet, dass das Chaos RAT in erster Linie zur Aufklärung und Informationsbeschaffung auf kompromittierten Geräten eingesetzt wurden.

Die jüngste Variante, die von VirusTotal entdeckt und aus Indien übermittelt wurde, enthielt eine tar.gz-komprimierte Archivdatei namens „NetworkAnalyzer.tar.gz“ die endgültige Chaos RAT-Payload. Es gibt keine weiteren Informationen darüber, wie das Opfer dieses Paket erhalten hat, aber die verfügbaren Informationen deuten darauf hin, dass es sich um einen Köder handelt, der Opfer dazu verleiten soll, ein Dienstprogramm zur Behebung von Netzwerkproblemen in Linux-Umgebungen herunterzuladen.

Überblick
Der aktuellste und aktiv gepflegte Quellcode der Chaos RAT-Software ist auf GitHub verfügbar. Die letzte Aktualisierung erfolgte im Oktober 2024. Diese Version dient ausschließlich der Erstellung von 64-Bit-Clients und unterstützt sowohl Windows- als auch Linux-Systeme. Die fortlaufende Entwicklung lässt kontinuierliche Verbesserungen erwarten, die darauf abzielen, die Kompatibilität zu erweitern, die Funktionen zur Generierung von Payloads zu verfeinern und die Kommunikationsprotokolle zu verbessern.
Administrationskonsole
Die Chaos RAT-Administrationskonsole ist die zentrale Benutzeroberfläche für die Erstellung, Verwaltung und Steuerung von Payloads. Sie bietet ein übersichtliches, browserbasiertes Dashboard mit verschiedenen Funktionen, die es Cyberkriminellen oder Forschenden ermöglichen, mit kompromittierten Systemen zu interagieren. Obwohl die Anzahl der erkannten Administrationskonsolen gering ist, deuten das Auftauchen neuer Varianten der Malware in VirusTotal und die niedrige Erkennungsrate darauf hin, dass das Chaos RAT weiterhin in realen Angriffen eingesetzt wird.

Die Administrationskonsole wird lokal mit folgendem Befehl gestartet:
PORT=8080 SQLITE_DATABASE=chaos go run cmd/chaos/main.go
Sobald der Dienst gestartet ist, kann die Administrationskonsole über jeden Webbrowser unter http://localhost:8080 mit den Standard-Anmeldedaten admin:admin aufgerufen werden.
Die Administrationskonsole enthält Registerkarten für die Verwaltung von Clients, die Erstellung von Payloads und die Überwachung von Kampagnen. Das Dashboard zeigt Client-IDs, IP-Adressen, Betriebssystemdetails und Verbindungsstatistiken an. Mit dem Payload Generator ist die Erstellung von 64-Bit-Payloads für Windows und Linux möglich, mit Optionen wie „Run Hidden“ (Versteckt ausführen) für Windows.


Unter Client Management werden die verbundenen Clients mit Details wie ID, Betriebssystem, IP-Adresse und Zeitpunkt der letzten Verbindung angezeigt. Die Ausführung einzelner oder mehrerer Befehle wird unterstützt. Unter der Registerkarte File Explorer finden sich Funktionen für das Suchen, Hochladen, Herunterladen, Löschen und Ausführen von Dateien mit rekursiver Traversierung.

Über die Registerkarte Remote Shell können Befehle in Echtzeit auf Windows- oder Linux-Systemen ausgeführt werden. Die Registerkarte Settings ermöglicht die Änderung der Konfiguration, einschließlich der Anmeldedaten, Ports und Datenbankpfade.

Ausführung
Die Windows-Variante verfügt über eine „Run Hidden“-Option, mit der die Konsolenausgabe ausgeblendet werden kann, während dies bei Linux nicht der Fall ist. Bei der Ausführung werden die Serveradresse und der Verbindungsstatus ausgegeben.

Unter Linux kann diese Ausgabe durch Umleitung auf das Gerät „/dev/null“ unterdrückt werden.
Der Hauptunterschied zwischen älteren und neueren Chaos RAT-Varianten besteht darin, dass die älteren (linkes Bild unten) die IP-Adresse, den Port und andere Daten als reinen Text ohne jegliche Kodierung speichern, mit Ausnahme des Token-Wertes, der in beiden Fällen Base64-kodiert ist. Bei der neuesten Variante (rechtes Bild unten) werden alle Daten als Base64-kodierter String mit einem zusätzlichen Funktionsaufruf gespeichert, der für das Auslesen zuständig ist.

Wir haben kürzlich zwei neu beobachtete Binärdateien analysiert, die mit der neuesten Version des Chaos RAT-Projekts kompiliert wurden. Eine davon (Variante 2) wurde zusätzlich mit dem UPX-Dienstprogramm gepackt.
Dekodierte Konfigurationsdaten
Jede Variante enthält ein Base64-kodiertes Konfigurationsobjekt mit zufälligen Feldnamen. Nach der Dekodierung entsprechen die Felder Schlüsselwerten wie dem C2-Serverport, der IP-Adresse und einem JWT-Token, das für die Autorisierung verwendet wird.
Variante 1
SHA256:1e074d9dca6ef0edd24afb2d13cafc5486cd4170c989ef60efd0bbb0
{ "86pYnySllR": "5223", "S7mOecuru0": "176.65.141.63", "vu2Yr4lh2E": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJhdXRob3JpemVkIjp0cnVlLCJleHAiOjE3Njk1ODEyMzQsInVzZXIiOiJkZWZhdWx0In0.gQ7sfb0DF74yrFsdCO1dy1Vb3YBhEv2utn7PdcB4kC4" } Variante 2
SHA256:a51416ea472658b5530a92163e64cfa51f983dfabe3da38e0646e92fb14de191
{ "Svy1ITNLYV": "7419", "WiBZgQLch7": "91.208.197.40", "bIffmObdNe": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJhdXRob3JpemVkIjp0cnVlLCJleHAiOjE3NzI0NTg2NTYsInVzZXIiOiJkZWZhdWx0In0.5crbatKoe-6CogXJwgzOl_RSBnydG5l_Lf-ahO2HAu0" }
Wie man sieht, sind die Feldnamen zufällig gewählt, um eine einfache Mustererkennung zu vermeiden, aber ihre Struktur und ihr Zweck bleiben gleich.
JWT – Aufbau
Die eingebetteten JSON Web Tokens (JWTs) folgen dem Standardformat und unterscheiden sich nur durch ihren Ablauf-Zeitstempel (exp field):
Variante 1
{
"alg":"HS256",
"typ":"JWT"
}
{
"authorized":true,
"exp":1769581234,
"user":"default"
}
Variante 2
{
"alg":"HS256",
"typ":"JWT"
}
{
"authorized":true,
"exp":1772458656,
"user":"default"
}
Dieses Token wird für die Authentifizierung und Autorisierung der Client-Server-Kommunikation innerhalb der Command-and-Control-Infrastruktur verwendet.
Verhalten nach der Konfiguration
Sobald die Konfiguration geparst wurde, beginnt die Malware mit dem Sammeln von Informationen. Diese Funktion sammelt detaillierte Host-Daten, einschließlich System-Metadaten, Netzwerkdetails und potenzielle Identifikatoren, die den Kriminellen helfen, ein Profil des infizierten Computers zu erstellen.
- Host-Name
- Aktueller Name
- MAC-Adresse
- IP-Adresse
- Aktuelle Zeit
- Betriebssystem-Name
- Betriebssystem-Architektur
Wenn das System den Namen des Betriebssystems erhält, weist es eine globale Variable zu, die verwendet wird, um die für jedes Betriebssystem spezifischen Ausführungspfade der Funktionen zu bestimmen. Windows-Systemen wird der Wert „1“ und Linux-Systemen der Wert „0“ zugewiesen. Nachdem diese Variable gesetzt wurde, initialisiert das RAT zusätzliche Dienste, die von den kompilierten Clients unterstützt werden, und passt die Funktionalität an das erkannte Betriebssystem an.

Das RAT geht dann in eine Endlosschleife über und überwacht kontinuierlich die Verfügbarkeit des Servers. Ist der Server nicht erreichbar, versucht das RAT alle 30 Sekunden erneut, den Server zu erreichen. Sobald eine Verbindung hergestellt ist, sendet das RAT die gesammelten Systemdaten an den Server und prüft alle 30 Sekunden auf eingehende Befehle.

Um mit dem Server zu kommunizieren, hängt der Client vor dem Senden der Anfrage einen der folgenden Strings an die IP-Adresse und den Port an:
- /client – Initialisierung einer neuen Verbindung
- /health – Überprüfung der Server-Verfügbarkeit
- /device – Senden von Geräteinformationen
Wenn der Client keine Verbindung zum Server herstellen kann, gibt er folgende Meldung aus:

Um Befehle vom Server zu erhalten, liest er die letzte empfangene Nachricht der bestehenden Verbindung. Jede Nachricht vom Server kommt im JSON-Format, so dass der Chaos RAT-Client sie zuerst deserialisiert.

Dann nimmt er den Befehlswert und lädt eine Reihe vordefinierter Strings (verfügbare Befehle). Diese Strings werden mit den empfangenen Werten verglichen, um die auszuführende Operation zu bestimmen.

Befehlssatz und Funktionen
- getos – Erfasst Systeminformationen wie Name, Version und Architektur des Betriebssystems, Benutzername, MAC-Adresse, IP-Adresse sowie aktuelles Datum und Uhrzeit.
- screenshot – Erstellt einen Screenshot mit der Bibliothek kbinani/screenshot. Dieser wird im PNG-Format kodiert und nach der Base64-Kodierung an den Server gesendet.
- restart – Neustart des Systems. Verwendet shutdown -r -t 00 unter Windows und reboot unter Linux.
- shutdown — Herunterfahren des Systems. Verwendet shutdown -s -t 00 unter Windows und poweroff unter Linux.
- lock – Sperrt das Windows-System mithilfe der Funktion LockWorkStation aus der Bibliothek user32.dll. Unter Linux nicht unterstützt.
- sign-out – Abmelden von Benutzer:innen. Verwendet den Befehl shutdown -L unter Windows. Unter Linux nicht unterstützt.
- explore – Listet Dateien und Verzeichnisse in einem angegebenen Pfad auf. Gibt Dateinamen und Zeitstempel von Änderungen aus. Unterstützt die rekursive Traversierung von Verzeichnissen.
- download – Hochladen einer bestimmten Datei vom Client zum Server. Wird durch eine POST-Anfrage ohne Base64-Kodierung ausgelöst.
- upload – Download einer bestimmten Datei vom Server zum Client über eine GET-Anfrage. Die Daten werden in eine lokale Datei geschrieben.
- delete – Löscht eine bestimmte Datei aus dem Dateisystem des Clients.
- open-url – Öffnet eine URL im Standardbrowser. Verwendet den Befehl start unter Windows und das Hilfsprogramm xdb unter Linux.
Befehlsfunktionen im Detail
„getOS“
Dieser Befehl liefert Systeminformationen wie Name, Version und Architektur des Betriebssystems, Benutzernamen, MAC- und IP-Adressen sowie das aktuelle Datum und die Uhrzeit.

„screenshot“
Diese Funktion stammt aus einem anderen Open-Source-Projekt. Nach der Aufnahme des Screenshots wird dieser an die Funktion „encode“ übergeben, die ihn in das PNG-Format umwandelt. Bevor der Screenshot an den Server gesendet wird, wird er mit Base64 kodiert. Auf dem Server wird das Bild im Download-Ordner gespeichert.

„restart“ und „shutdown“
Die Ausführung dieser Befehle hängt vom Betriebssystem ab. Unter Windows wird der Befehl „shutdown -r -t 00“ zum Neustart und der Befehl „shutdown -s -t 00“ zum Herunterfahren des Systems verwendet. Unter Linux werden die Befehle „reboot“ und „poweroff“ verwendet.

„lock“ und „sign-out“
Diese Befehle werden nur von der Windows-Version unterstützt. Für den Befehl „lock“ wird die Funktion „LockWorkStation“ der „user32.dll“ verwendet:
Rundll32.exe user32.dll, LockWorkStation
Der Befehl „sign-out“ wird mit dem Befehl „shutdown -L“ ausgeführt.

„explore“
Diese Funktion wird verwendet, um Dateien auf dem System anzuzeigen. Sie startet im Benutzerverzeichnis und führt die Funktion „ReadDir“ aus. Anschließend wird für jede gefundene Datei der Dateityp überprüft. Handelt es sich bei der Datei um ein Verzeichnis, wird nur der Dateiname übernommen und an die Liste angehängt:
{
"path":"/home/dev/go",
"files":null,
"directories":[
"bin",
"pkg"
]
}
Wenn der aufgelistete Ordner Dateien enthält, wird neben dem Namen auch das Datum der letzten Änderung ausgegeben:
{
"path":"/home/dev",
"files":[
{
"filename":".bash_history",
"mod_time":"2025-03-06T10:28:28.788848322Z"
},
{
"filename":".bash_logout",
"mod_time":"2024-03-31T08:41:03Z"
},
{
"filename":".bashrc",
"mod_time":"2024-03-31T08:41:03Z"
}
]
}
„download“ und „upload“
Wenn der Client den Befehl „download“ erhält, muss er die Liste auf den Server hochladen. Der Befehl enthält den vollständigen Dateipfad als Parameter.

Zuerst liest der Client den Inhalt der Datei und erstellt eine POST-Anfrage, in die er auch die Dateidaten schreibt. Anschließend werden Cookies gesetzt, die einen Token aus der Konfiguration und einen Content-Type enthalten. Diese Anfrage wird ohne Base64-Kodierung gesendet.

Wenn die Upload-Datei beim Client eintrifft, lädt dieser die als Argument übergebene Datei auf das lokale System herunter. Dazu sendet er eine GET-Anfrage an den Server und schreibt die empfangenen Daten in die Datei.

In beiden Fällen wird nach dem Down- oder Upload einer Datei ein zusätzliches Paket mit dem vollständigen Dateipfad gesendet, um zu signalisieren, dass der Vorgang erfolgreich abgeschlossen wurde. Schlägt der Vorgang fehl, wird ein Paket mit dem Ergebnis „0“ gesendet.
„open-url“
Auf Windows-Systemen wird dazu der Befehl „start“ verwendet. Dieser Befehl erzwingt das Öffnen der URL im Standardbrowser des Systems. Auf Linux-Systemen wird dazu das Dienstprogramm „xdb“ verwendet.

Befehlsausführung
Das Chaos RAT fügt Terminalbefehle in das „command“-Feld der Anfrage ein, so dass auf der Client-Seite, wenn keiner der vorherigen Befehle passt, der Befehl an das Terminal weitergeleitet wird. Die Ausgabe der Befehlsausführung wird an den Server zurückgeschickt.

Nach der Ausführung des Befehls wird das Ergebnis mit Base64 kodiert und im JSON-Format an den Server gesendet. Jeder Client verwendet eine MAC-Adresse des Hosts als seine eigene ID.


Chaos RAT: Hacker:innen übernehmen die Kontrolle über das Kontroll-Tool
Das Chaos RAT wurde Opfer seiner eigenen Tricks. Eine kritische Schwachstelle in der Administrationskonsole ermöglichte es Hacker:innen, Remote-Code auf dem Server auszuführen und den Spieß umzudrehen: Das Kontroll-Tool verlor selbst die Kontrolle.
Die Schwachstelle: CVE-2024-30850
Die Schwachstelle wurde durch die Chaos RAT-Hintergrundfunktion „BuildClient“ verursacht. Diese Funktion nahm Benutzereingaben wie Serveradresse, Port und Dateiname entgegen, um einen Shell-Befehl zur Erstellung von Agenten-Binärdateien zu generieren. Trotz einer gewissen Eingabevalidierung konnten bei Verwendung von „exec.Command("sh", "-c", buildCmd)“ durch böswillige Eingaben beliebige Befehle eingeschleust werden. Dies öffnete authentifizierten Benutzer:innen die Tür, um Code auf dem Server auszuführen, der das RAT hostet.

Der Exploit: CVE-2024-31839
Cyberkriminelle könnten einen gefälschten Agenten-Callback erstellen und so eine XSS-Schwachstelle in der Administrationskonsole ausnutzen. Durch das Einbetten bösartiger Skripte in die Agenten-Daten könnte JavaScript im Kontext der Browser-Sitzung des Administrators ausgeführt werden. Diese Kombination aus serverseitiger Befehlsinjektion und client-seitigem XSS stellt einen wirksamen Angriffsvektor dar.
Die Pointe: Chaos RAT wurde gerickrollt
Der Sicherheitsforscher und Profi-Rickroller Chebuya demonstrierte den Angriff, indem er die Chaos RAT-Administrationskonsole dazu brachte, Rick Astleys „Never Gonna Give You Up“ zu spielen. Lesen Sie Chebuyas vollständigen Bericht für eine detaillierte Analyse: Remote code execution on CHAOS RAT via spoofed agents (nur auf Englisch verfügbar).

Auswirkungen
Die Malware ermöglicht die Dateiverwaltung, Reverse-Shell-Zugriff und die Weiterleitung von Netzwerkverkehr über Proxys. Diese Funktionen könnten Spionage und Datenexfiltration erleichtern oder als Einfallstor für Ransomware und andere Aktivitäten nach einer Kompromittierung dienen.
Da die Malware Open Source ist, können Angreifer sie leicht modifizieren und umfunktionieren. So entstehen neue Varianten, die signaturbasierter Erkennung entgehen können. Dies erschwert zudem die Attribution, da mehrere Akteure ähnliche Tools verwenden können, ohne dass sich der Einsatz einem von ihnen eindeutig zuordnen lässt. Dadurch verschwimmen die Grenzen zwischen Cyberkriminalität und staatlich geförderten Aktivitäten.
Beispiele
Es wurden mehrere APT-Gruppen (Advanced Persistent Threat) beobachtet, die in ihren Kampagnen Open-Source-RATs (Remote-Access-Trojaner) eingesetzt haben: Bei APT41 und APT36 handelte es sich um NjRAT, während APT10 QuasarRAT genutzt hat. Blind Eagle (APT-C-36) ist bekannt dafür, AsyncRAT einzusetzen. Darüber hinaus haben sowohl APT34 als auch APT35 für ihre Kampagnen auf Pupy RAT zurückgegriffen.
Warum Chaos RAT oder überhaupt irgendeine Open-Source-Malware einsetzen?
1. Unauffälligkeit: Der Einsatz öffentlich verfügbarer Malware hilft APT-Gruppen, im alltäglichen Geschehen der Cyberkriminalität unterzutauchen. Wenn wenig versierte Akteure RATs in großem Umfang nutzen, ist es schwieriger festzustellen, ob ein erfahrener Akteur oder ein Script-Kiddie hinter einer bestimmten Kampagne steckt.
2. Geschwindigkeit und Kosten: Selbst gut ausgestattete APTs müssen schnell handeln oder ihre Aktivitäten auf mehrere Ziele ausweiten. Open-Source-Malware bietet ein ausreichend gutes Toolkit, das schnell angepasst und eingesetzt werden kann.
3. Umgehung der Attribution: Wenn mehrere Akteure dieselbe Open-Source-Malware nutzen, wird die Attribution erschwert. Aktivitäten lassen sich allein anhand von Malware nicht so einfach einer bestimmten Gruppe zuordnen, was fortgeschrittenen Bedrohungsakteuren Schutz bei sensiblen Operationen bietet.
Fazit
Was als Werkzeug für Entwickler:innen beginnt, kann schnell zum bevorzugten Instrument von Cyberkriminellen werden. Dieses Go-basierte RAT bietet eine einfache webbasierte Benutzeroberfläche und leistungsstarke Systemkontrollen unter Windows und Linux. Es ermöglicht Reverse-Shells, Dateimanipulationen und die Ausführung von Remote-Befehlen auf kompromittierten Systemen.
Die Chaos RAT-Malware wurde bereits in Angriffen verwendet und verdeutlicht ein wachsendes Problem im Bereich der Cybersicherheit: die Verwendung von Open-Source-Software als Waffe. Mit schnellen Bereitstellungsmöglichkeiten, der getarnten Linux-Ausrichtung und einer flexiblen Konfiguration erinnert diese Malware daran, dass Open Source ein zweischneidiges Schwert ist und in den falschen Händen großen Schaden anrichten kann.
Erkennung durch Acronis
Acronis Cyber Protect Cloud erkennt erfolgreich verschiedene Komponenten der Chaos RAT-Malware als „Trojan.Linux.ChaosRAT.A“, wie die folgenden Screenshots zeigen.



Acronis hat kürzlich bekannt gegeben, dass Acronis EDR nun auch Linux unterstützt. Mit dieser Weiterentwicklung wird EDR auf gemischte Umgebungen ausgeweitet, so dass ein vollständiger Schutz für Windows-, macOS- und jetzt auch Linux-Workloads möglich ist. Wenn Acronis EDR verdächtige oder schädliche Dateien oder Prozesse auf Linux-Systemen erkennt, werden diese Erkennungen automatisch dem MITRE ATT&CK-Framework zugeordnet, was einen tieferen Einblick in potenzielle Bedrohungen ermöglicht.
Dieses Update unterstützt auch mehrere Behebungsmaßnahmen für Linux-Geräte. Dazu gehören das Beenden bösartiger Prozesse, das Isolieren von Dateien, das Hinzufügen von Objekten zur Positiv- oder Sperrliste und das Wiederherstellen betroffener Systeme aus einem Backup.
Diese neuen Funktionen unterstützen die Betriebssysteme Ubuntu 22.04 und CentOS 7.x und sind auch mit Acronis XDR verfügbar.
Kompromittierungsindikatoren
Dateien
YARA
rule ELF_Chaos_RAT
{
meta:
description = "Detects Linux ELF binaries <10MB with indicators of CHAOS-RAT-generated payloads"
author = "Acronis TRU"
date = "2025-04-16"
strings:
$chaos = "tiagorlampert/CHAOS" ascii
$library1 = "BurntSushi/xgb" ascii
$library2 = "gen2brain/shm" ascii
$library3 = "kbinani/screenshot" ascii
condition: uint32(0) == 0x464c457f and // ELF magic number in little-endian
filesize < 10MB and
$chaos and
2 of ($library*)
}
Referenzen und verwandte Publikationen (in chronologischer Reihenfolge)
1. Tweet über das Chaos RAT (von Cyberteam008) 15. April 2025. https://x.com/Cyberteam008/status/1889516549129802007
2. GitHub Advisory Database. tiagorlampert Chaos ist anfällig für Cross-Site-Scripting (CVE-2024-31839) 12. April 2024. https://github.com/advisories/GHSA-c5rv-hjjc-jv7m
3. Ausführung von Remote-Code auf Chaos Rat-Malware über gefälschte Agenten (von Chebuya) 5. April 2024. https://blog.chebuya.com/posts/remote-code-execution-on-chaos-rat-via-spoofed-agents/
4. Tweet zu CVE-2024-30850 (von Chebuya) 5. April 2024. https://x.com/_chebuya/status/1776371049095192847
5. MAL_LNX_Chaos_Rat_Dec22 (Valhalla Rule von Nextron-Systems) 14. Dezember 2022. https://valhalla.nextron-systems.com/info/rule/MAL_LNX_Chaos_Rat_Dec22
6. Chaos ist ein Go-basiertes Schweizer Taschenmesser unter den Malware-Programmen (Lumen Blog) 28. September 2022. https://blog.lumen.com/chaos-is-a-go-based-swiss-army-knife-of-malware/
7. CHAOS: Remote Administration Tool (GitHub Repository) https://github.com/tiagorlampert/CHAOS