04. Juni 2025

Von Open Source zu Open Threat: Die Entwicklung der Chaos RAT-Software

 

Autor:innen: Santiago Pontiroli, Gabor Molnar, Kirill Antonenko

 

Zusammenfassung

 

  • Die Acronis Threat Research Unit (TRU) hat bei aktuellen Angriffen auf Linux und Windows neue Varianten der bekannten Malware-Familie Chaos RAT entdeckt.
  • Chaos RAT ist ein Open Source Remote Administration Tool (RAT), das 2022 zum ersten Mal auftauchte. Die Malware entwickelte sich 2024 weiter und 2025 entdeckte TRU neue Varianten.
  • Das TRU-Team hat eine kritische Schwachstelle in der webbasierten Konsole der Chaos RAT-Software entdeckt, die es Angreifern ermöglicht, Remote-Code auf dem Server auszuführen. Die neueste Chaos RAT-Variante scheint die Opfer dazu zu verleiten, ein Dienstprogramm zur Behebung von Netzwerkfehlern in Linux-Umgebungen herunterzuladen.
  • Chaos RAT wurde in Golang entwickelt und bietet plattformübergreifende Kompatibilität mit Windows-und Linux-Systemen. Diese Variante ist ein weiteres anschauliches Beispiel dafür, wie Schwachstellen in nützlichen und legitimen Tools gezielt für cyberkriminelle Aktivitäten missbraucht werden können.
  • Obwohl ihr Einsatz insgesamt begrenzt bleibt, bestätigen aktuelle Varianten, dass Chaos RAT weiterhin aktiv ist. Sein niedriges Erkennungsprofil bietet Gelegenheiten für Spionage, Datenexfiltration und die Einrichtung von Einstiegspunkten für Ransomware und weitere Aktivitäten nach einer Kompromittierung.
  • In dieser technischen Analyse konzentriert sich das Acronis TRU-Team auf eine Linux-Variante und stellt umsetzbare Erkennungsstrategien vor, darunter YARA-Regeln, Kompromittierungsindikatoren und Tipps zur Bedrohungserkennung mit EDR, um diese Bedrohung abzuwehren.

Einleitung

Chaos RAT ist ein in Golang geschriebenes Open Source RAT, das plattformübergreifende Unterstützung für Windows- und Linux-Systeme bietet. Inspiriert von populären Frameworks wie Cobalt Strike und Sliver bietet das Chaos RAT eine Administrationskonsole, mit der Schaddaten generiert, Sitzungen erstellt und kompromittierte Maschinen kontrolliert werden können. Obwohl auf Golang basierende Malware in der Regel langsamer und größer ist als Malware, die in C++ oder anderen gängigen Sprachen geschrieben wurde, profitiert sie von den Cross-Compilation-Fähigkeiten von Golang, was zu kürzeren Entwicklungszeiten und größerer Flexibilität führt.

Acronis

Ursprünglich als legitimes Remote-Management-Tool entwickelt, hat der Open-Source-Charakter der Chaos RAT-Software Bedrohungsakteure angezogen, die das Tool nun für böswillige Zwecke missbrauchen. Obwohl die Entwicklung bereits 2017 begann, erfolgte der erste nachweisliche Einsatz der Chaos RAT-Malware in realen Angriffen erst im November 2022. Seitdem tauchen immer wieder Linux-Varianten auf, die hauptsächlich in Krypto-Mining-Kampagnen eingesetzt werden. Diese Analyse befasst sich im Detail mit der Chaos RAT-Architektur, der Verwendung dieser Malware in aktiven Angriffen und den Methoden, wie diese Malware erkannt und bekämpft werden kann.

Anatomie der Chaos RAT-Malware: Code, Fähigkeiten und Kommunikation

Bereitstellung

Chaos RAT erreicht seine Opfer in der Regel über Phishing-E-Mails, die bösartige Links oder Anhänge enthalten. Die erste Variante führte ein schädliches Skript aus (das nichts mit dem RAT zu tun hatte). Das Skript zielte darauf ab, die Datei „/etc/crontab“ zu verändern. Das ist ein Taskplaner, der häufig von Eindringlingen missbraucht wird, um dauerhaft auf einem System zu bleiben. Dieser Mechanismus ermöglicht es Cyberkriminellen, die eigentlichen Schaddaten zu aktualisieren oder zu ändern, ohne erneut auf das Zielsystem zugreifen zu müssen, da die Datei bei jeder Ausführung von „cron“ aus der Ferne abgerufen wird. In den ersten Kampagnen wurde diese Technik zur getrennten Verbreitung von Krypto-Währungs-Minern und der Chaos RAT-Malware verwendet, was darauf hindeutet, dass das Chaos RAT in erster Linie zur Aufklärung und Informationsbeschaffung auf kompromittierten Geräten eingesetzt wurden.

Acronis

Die jüngste Variante, die von VirusTotal entdeckt und aus Indien übermittelt wurde, enthielt eine tar.gz-komprimierte Archivdatei namens „NetworkAnalyzer.tar.gz“ die endgültige Chaos RAT-Payload. Es gibt keine weiteren Informationen darüber, wie das Opfer dieses Paket erhalten hat, aber die verfügbaren Informationen deuten darauf hin, dass es sich um einen Köder handelt, der Opfer dazu verleiten soll, ein Dienstprogramm zur Behebung von Netzwerkproblemen in Linux-Umgebungen herunterzuladen.

Acronis

Überblick

Der aktuellste und aktiv gepflegte Quellcode der Chaos RAT-Software ist auf GitHub verfügbar. Die letzte Aktualisierung erfolgte im Oktober 2024. Diese Version dient ausschließlich der Erstellung von 64-Bit-Clients und unterstützt sowohl Windows- als auch Linux-Systeme. Die fortlaufende Entwicklung lässt kontinuierliche Verbesserungen erwarten, die darauf abzielen, die Kompatibilität zu erweitern, die Funktionen zur Generierung von Payloads zu verfeinern und die Kommunikationsprotokolle zu verbessern.

Administrationskonsole

Die Chaos RAT-Administrationskonsole ist die zentrale Benutzeroberfläche für die Erstellung, Verwaltung und Steuerung von Payloads. Sie bietet ein übersichtliches, browserbasiertes Dashboard mit verschiedenen Funktionen, die es Cyberkriminellen oder Forschenden ermöglichen, mit kompromittierten Systemen zu interagieren. Obwohl die Anzahl der erkannten Administrationskonsolen gering ist, deuten das Auftauchen neuer Varianten der Malware in VirusTotal und die niedrige Erkennungsrate darauf hin, dass das Chaos RAT weiterhin in realen Angriffen eingesetzt wird.

Acronis

Die Administrationskonsole wird lokal mit folgendem Befehl gestartet:

PORT=8080 SQLITE_DATABASE=chaos go run cmd/chaos/main.go

Sobald der Dienst gestartet ist, kann die Administrationskonsole über jeden Webbrowser unter http://localhost:8080 mit den Standard-Anmeldedaten admin:admin aufgerufen werden.

Die Administrationskonsole enthält Registerkarten für die Verwaltung von Clients, die Erstellung von Payloads und die Überwachung von Kampagnen. Das Dashboard zeigt Client-IDs, IP-Adressen, Betriebssystemdetails und Verbindungsstatistiken an. Mit dem Payload Generator ist die Erstellung von 64-Bit-Payloads für Windows und Linux möglich, mit Optionen wie „Run Hidden“ (Versteckt ausführen) für Windows.

Acronis
Acronis

Unter Client Management werden die verbundenen Clients mit Details wie ID, Betriebssystem, IP-Adresse und Zeitpunkt der letzten Verbindung angezeigt. Die Ausführung einzelner oder mehrerer Befehle wird unterstützt. Unter der Registerkarte File Explorer finden sich Funktionen für das Suchen, Hochladen, Herunterladen, Löschen und Ausführen von Dateien mit rekursiver Traversierung.

Acronis

Über die Registerkarte Remote Shell können Befehle in Echtzeit auf Windows- oder Linux-Systemen ausgeführt werden. Die Registerkarte Settings ermöglicht die Änderung der Konfiguration, einschließlich der Anmeldedaten, Ports und Datenbankpfade.

Acronis

Ausführung

Die Windows-Variante verfügt über eine „Run Hidden“-Option, mit der die Konsolenausgabe ausgeblendet werden kann, während dies bei Linux nicht der Fall ist. Bei der Ausführung werden die Serveradresse und der Verbindungsstatus ausgegeben.

Acronis

Unter Linux kann diese Ausgabe durch Umleitung auf das Gerät „/dev/null“ unterdrückt werden.

Der Hauptunterschied zwischen älteren und neueren Chaos RAT-Varianten besteht darin, dass die älteren (linkes Bild unten) die IP-Adresse, den Port und andere Daten als reinen Text ohne jegliche Kodierung speichern, mit Ausnahme des Token-Wertes, der in beiden Fällen Base64-kodiert ist. Bei der neuesten Variante (rechtes Bild unten) werden alle Daten als Base64-kodierter String mit einem zusätzlichen Funktionsaufruf gespeichert, der für das Auslesen zuständig ist.

Acronis

Wir haben kürzlich zwei neu beobachtete Binärdateien analysiert, die mit der neuesten Version des Chaos RAT-Projekts kompiliert wurden. Eine davon (Variante 2) wurde zusätzlich mit dem UPX-Dienstprogramm gepackt.

Dekodierte Konfigurationsdaten

Jede Variante enthält ein Base64-kodiertes Konfigurationsobjekt mit zufälligen Feldnamen. Nach der Dekodierung entsprechen die Felder Schlüsselwerten wie dem C2-Serverport, der IP-Adresse und einem JWT-Token, das für die Autorisierung verwendet wird.

Variante 1

SHA256:1e074d9dca6ef0edd24afb2d13cafc5486cd4170c989ef60efd0bbb0

{            "86pYnySllR": "5223",             "S7mOecuru0": "176.65.141.63",             "vu2Yr4lh2E": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJhdXRob3JpemVkIjp0cnVlLCJleHAiOjE3Njk1ODEyMzQsInVzZXIiOiJkZWZhdWx0In0.gQ7sfb0DF74yrFsdCO1dy1Vb3YBhEv2utn7PdcB4kC4" } Variante 2

SHA256:a51416ea472658b5530a92163e64cfa51f983dfabe3da38e0646e92fb14de191

{            "Svy1ITNLYV": "7419",            "WiBZgQLch7": "91.208.197.40",             "bIffmObdNe": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJhdXRob3JpemVkIjp0cnVlLCJleHAiOjE3NzI0NTg2NTYsInVzZXIiOiJkZWZhdWx0In0.5crbatKoe-6CogXJwgzOl_RSBnydG5l_Lf-ahO2HAu0" }

Wie man sieht, sind die Feldnamen zufällig gewählt, um eine einfache Mustererkennung zu vermeiden, aber ihre Struktur und ihr Zweck bleiben gleich.

JWT – Aufbau

Die eingebetteten JSON Web Tokens (JWTs) folgen dem Standardformat und unterscheiden sich nur durch ihren Ablauf-Zeitstempel (exp field):

Variante 1

{

   "alg":"HS256",

   "typ":"JWT"

}

{

   "authorized":true,

   "exp":1769581234,

   "user":"default"

}

 

Variante 2

 

{

   "alg":"HS256",

   "typ":"JWT"

}

{

   "authorized":true,

   "exp":1772458656,

   "user":"default"

}

Dieses Token wird für die Authentifizierung und Autorisierung der Client-Server-Kommunikation innerhalb der Command-and-Control-Infrastruktur verwendet.

Verhalten nach der Konfiguration

Sobald die Konfiguration geparst wurde, beginnt die Malware mit dem Sammeln von Informationen. Diese Funktion sammelt detaillierte Host-Daten, einschließlich System-Metadaten, Netzwerkdetails und potenzielle Identifikatoren, die den Kriminellen helfen, ein Profil des infizierten Computers zu erstellen.

  • Host-Name
  • Aktueller Name
  • MAC-Adresse
  • IP-Adresse
  • Aktuelle Zeit
  • Betriebssystem-Name
  • Betriebssystem-Architektur

Wenn das System den Namen des Betriebssystems erhält, weist es eine globale Variable zu, die verwendet wird, um die für jedes Betriebssystem spezifischen Ausführungspfade der Funktionen zu bestimmen. Windows-Systemen wird der Wert „1“ und Linux-Systemen der Wert „0“ zugewiesen. Nachdem diese Variable gesetzt wurde, initialisiert das RAT zusätzliche Dienste, die von den kompilierten Clients unterstützt werden, und passt die Funktionalität an das erkannte Betriebssystem an.

Acronis

Das RAT geht dann in eine Endlosschleife über und überwacht kontinuierlich die Verfügbarkeit des Servers. Ist der Server nicht erreichbar, versucht das RAT alle 30 Sekunden erneut, den Server zu erreichen. Sobald eine Verbindung hergestellt ist, sendet das RAT die gesammelten Systemdaten an den Server und prüft alle 30 Sekunden auf eingehende Befehle.

Acronis

Um mit dem Server zu kommunizieren, hängt der Client vor dem Senden der Anfrage einen der folgenden Strings an die IP-Adresse und den Port an:

  • /client – Initialisierung einer neuen Verbindung
  • /health – Überprüfung der Server-Verfügbarkeit
  • /device – Senden von Geräteinformationen

Wenn der Client keine Verbindung zum Server herstellen kann, gibt er folgende Meldung aus:

Acronis

Um Befehle vom Server zu erhalten, liest er die letzte empfangene Nachricht der bestehenden Verbindung. Jede Nachricht vom Server kommt im JSON-Format, so dass der Chaos RAT-Client sie zuerst deserialisiert.

Acronis

Dann nimmt er den Befehlswert und lädt eine Reihe vordefinierter Strings (verfügbare Befehle). Diese Strings werden mit den empfangenen Werten verglichen, um die auszuführende Operation zu bestimmen.

Acronis

Befehlssatz und Funktionen

  • getos – Erfasst Systeminformationen wie Name, Version und Architektur des Betriebssystems, Benutzername, MAC-Adresse, IP-Adresse sowie aktuelles Datum und Uhrzeit.
  • screenshot – Erstellt einen Screenshot mit der Bibliothek kbinani/screenshot. Dieser wird im PNG-Format kodiert und nach der Base64-Kodierung an den Server gesendet.
  • restart – Neustart des Systems. Verwendet shutdown -r -t 00 unter Windows und reboot unter Linux.
  • shutdown — Herunterfahren des Systems. Verwendet shutdown -s -t 00 unter Windows und poweroff unter Linux.
  • lock – Sperrt das Windows-System mithilfe der Funktion LockWorkStation aus der Bibliothek user32.dll. Unter Linux nicht unterstützt.
  • sign-out – Abmelden von Benutzer:innen. Verwendet den Befehl shutdown -L unter Windows. Unter Linux nicht unterstützt.
  • explore – Listet Dateien und Verzeichnisse in einem angegebenen Pfad auf. Gibt Dateinamen und Zeitstempel von Änderungen aus. Unterstützt die rekursive Traversierung von Verzeichnissen.
  • download – Hochladen einer bestimmten Datei vom Client zum Server. Wird durch eine POST-Anfrage ohne Base64-Kodierung ausgelöst.
  • upload – Download einer bestimmten Datei vom Server zum Client über eine GET-Anfrage. Die Daten werden in eine lokale Datei geschrieben.
  • delete – Löscht eine bestimmte Datei aus dem Dateisystem des Clients.
  • open-url – Öffnet eine URL im Standardbrowser. Verwendet den Befehl start unter Windows und das Hilfsprogramm xdb unter Linux.

Befehlsfunktionen im Detail

„getOS“

Dieser Befehl liefert Systeminformationen wie Name, Version und Architektur des Betriebssystems, Benutzernamen, MAC- und IP-Adressen sowie das aktuelle Datum und die Uhrzeit.

Acronis

„screenshot“

Diese Funktion stammt aus einem anderen Open-Source-Projekt. Nach der Aufnahme des Screenshots wird dieser an die Funktion „encode“ übergeben, die ihn in das PNG-Format umwandelt. Bevor der Screenshot an den Server gesendet wird, wird er mit Base64 kodiert. Auf dem Server wird das Bild im Download-Ordner gespeichert.

Acronis

„restart“ und „shutdown“

Die Ausführung dieser Befehle hängt vom Betriebssystem ab. Unter Windows wird der Befehl „shutdown -r -t 00“ zum Neustart und der Befehl „shutdown -s -t 00“ zum Herunterfahren des Systems verwendet. Unter Linux werden die Befehle „reboot“ und „poweroff“ verwendet.

Acronis

„lock“ und „sign-out“

Diese Befehle werden nur von der Windows-Version unterstützt. Für den Befehl „lock“ wird die Funktion „LockWorkStation“ der „user32.dll“ verwendet:

Rundll32.exe user32.dll, LockWorkStation

Der Befehl „sign-out“ wird mit dem Befehl „shutdown -L“ ausgeführt.

Acronis

„explore“

Diese Funktion wird verwendet, um Dateien auf dem System anzuzeigen. Sie startet im Benutzerverzeichnis und führt die Funktion „ReadDir“ aus. Anschließend wird für jede gefundene Datei der Dateityp überprüft. Handelt es sich bei der Datei um ein Verzeichnis, wird nur der Dateiname übernommen und an die Liste angehängt:

 

{

   "path":"/home/dev/go",

   "files":null,

   "directories":[

      "bin",

      "pkg"

   ]

}

 

Wenn der aufgelistete Ordner Dateien enthält, wird neben dem Namen auch das Datum der letzten Änderung ausgegeben:

 

{

   "path":"/home/dev",

   "files":[

      {

         "filename":".bash_history",

         "mod_time":"2025-03-06T10:28:28.788848322Z"

      },

      {

         "filename":".bash_logout",

         "mod_time":"2024-03-31T08:41:03Z"

      },

      {

         "filename":".bashrc",

         "mod_time":"2024-03-31T08:41:03Z"

      }

   ]

}

„download“ und „upload“

Wenn der Client den Befehl „download“ erhält, muss er die Liste auf den Server hochladen. Der Befehl enthält den vollständigen Dateipfad als Parameter.

Acronis

Zuerst liest der Client den Inhalt der Datei und erstellt eine POST-Anfrage, in die er auch die Dateidaten schreibt. Anschließend werden Cookies gesetzt, die einen Token aus der Konfiguration und einen Content-Type enthalten. Diese Anfrage wird ohne Base64-Kodierung gesendet.

Acronis

Wenn die Upload-Datei beim Client eintrifft, lädt dieser die als Argument übergebene Datei auf das lokale System herunter. Dazu sendet er eine GET-Anfrage an den Server und schreibt die empfangenen Daten in die Datei.

Acronis

In beiden Fällen wird nach dem Down- oder Upload einer Datei ein zusätzliches Paket mit dem vollständigen Dateipfad gesendet, um zu signalisieren, dass der Vorgang erfolgreich abgeschlossen wurde. Schlägt der Vorgang fehl, wird ein Paket mit dem Ergebnis „0“ gesendet.

„open-url“

Auf Windows-Systemen wird dazu der Befehl „start“ verwendet. Dieser Befehl erzwingt das Öffnen der URL im Standardbrowser des Systems. Auf Linux-Systemen wird dazu das Dienstprogramm „xdb“ verwendet.

Acronis

Befehlsausführung

Das Chaos RAT fügt Terminalbefehle in das „command“-Feld der Anfrage ein, so dass auf der Client-Seite, wenn keiner der vorherigen Befehle passt, der Befehl an das Terminal weitergeleitet wird. Die Ausgabe der Befehlsausführung wird an den Server zurückgeschickt.

Acronis

Nach der Ausführung des Befehls wird das Ergebnis mit Base64 kodiert und im JSON-Format an den Server gesendet. Jeder Client verwendet eine MAC-Adresse des Hosts als seine eigene ID.

Acronis
Acronis

Chaos RAT: Hacker:innen übernehmen die Kontrolle über das Kontroll-Tool

Das Chaos RAT wurde Opfer seiner eigenen Tricks. Eine kritische Schwachstelle in der Administrationskonsole ermöglichte es Hacker:innen, Remote-Code auf dem Server auszuführen und den Spieß umzudrehen: Das Kontroll-Tool verlor selbst die Kontrolle.

Die Schwachstelle: CVE-2024-30850

Die Schwachstelle wurde durch die Chaos RAT-Hintergrundfunktion „BuildClient“ verursacht. Diese Funktion nahm Benutzereingaben wie Serveradresse, Port und Dateiname entgegen, um einen Shell-Befehl zur Erstellung von Agenten-Binärdateien zu generieren. Trotz einer gewissen Eingabevalidierung konnten bei Verwendung von „exec.Command("sh", "-c", buildCmd)“ durch böswillige Eingaben beliebige Befehle eingeschleust werden. Dies öffnete authentifizierten Benutzer:innen die Tür, um Code auf dem Server auszuführen, der das RAT hostet.

Acronis

Der Exploit: CVE-2024-31839

Cyberkriminelle könnten einen gefälschten Agenten-Callback erstellen und so eine XSS-Schwachstelle in der Administrationskonsole ausnutzen. Durch das Einbetten bösartiger Skripte in die Agenten-Daten könnte JavaScript im Kontext der Browser-Sitzung des Administrators ausgeführt werden. Diese Kombination aus serverseitiger Befehlsinjektion und client-seitigem XSS stellt einen wirksamen Angriffsvektor dar.

Die Pointe: Chaos RAT wurde gerickrollt

Der Sicherheitsforscher und Profi-Rickroller Chebuya demonstrierte den Angriff, indem er die Chaos RAT-Administrationskonsole dazu brachte, Rick Astleys „Never Gonna Give You Up“ zu spielen. Lesen Sie Chebuyas vollständigen Bericht für eine detaillierte Analyse: Remote code execution on CHAOS RAT via spoofed agents (nur auf Englisch verfügbar).

Acronis

Auswirkungen

Die Malware ermöglicht die Dateiverwaltung, Reverse-Shell-Zugriff und die Weiterleitung von Netzwerkverkehr über Proxys. Diese Funktionen könnten Spionage und Datenexfiltration erleichtern oder als Einfallstor für Ransomware und andere Aktivitäten nach einer Kompromittierung dienen.

 

Da die Malware Open Source ist, können Angreifer sie leicht modifizieren und umfunktionieren. So entstehen neue Varianten, die signaturbasierter Erkennung entgehen können. Dies erschwert zudem die Attribution, da mehrere Akteure ähnliche Tools verwenden können, ohne dass sich der Einsatz einem von ihnen eindeutig zuordnen lässt. Dadurch verschwimmen die Grenzen zwischen Cyberkriminalität und staatlich geförderten Aktivitäten.

Beispiele

Es wurden mehrere APT-Gruppen (Advanced Persistent Threat) beobachtet, die in ihren Kampagnen Open-Source-RATs (Remote-Access-Trojaner) eingesetzt haben: Bei APT41 und APT36 handelte es sich um NjRAT, während APT10 QuasarRAT genutzt hat. Blind Eagle (APT-C-36) ist bekannt dafür, AsyncRAT einzusetzen. Darüber hinaus haben sowohl APT34 als auch APT35 für ihre Kampagnen auf Pupy RAT zurückgegriffen.

Warum Chaos RAT oder überhaupt irgendeine Open-Source-Malware einsetzen?

1. Unauffälligkeit: Der Einsatz öffentlich verfügbarer Malware hilft APT-Gruppen, im alltäglichen Geschehen der Cyberkriminalität unterzutauchen. Wenn wenig versierte Akteure RATs in großem Umfang nutzen, ist es schwieriger festzustellen, ob ein erfahrener Akteur oder ein Script-Kiddie hinter einer bestimmten Kampagne steckt.

2. Geschwindigkeit und Kosten: Selbst gut ausgestattete APTs müssen schnell handeln oder ihre Aktivitäten auf mehrere Ziele ausweiten. Open-Source-Malware bietet ein ausreichend gutes Toolkit, das schnell angepasst und eingesetzt werden kann.

3. Umgehung der Attribution: Wenn mehrere Akteure dieselbe Open-Source-Malware nutzen, wird die Attribution erschwert. Aktivitäten lassen sich allein anhand von Malware nicht so einfach einer bestimmten Gruppe zuordnen, was fortgeschrittenen Bedrohungsakteuren Schutz bei sensiblen Operationen bietet.

Fazit

Was als Werkzeug für Entwickler:innen beginnt, kann schnell zum bevorzugten Instrument von Cyberkriminellen werden. Dieses Go-basierte RAT bietet eine einfache webbasierte Benutzeroberfläche und leistungsstarke Systemkontrollen unter Windows und Linux. Es ermöglicht Reverse-Shells, Dateimanipulationen und die Ausführung von Remote-Befehlen auf kompromittierten Systemen.

Die Chaos RAT-Malware wurde bereits in Angriffen verwendet und verdeutlicht ein wachsendes Problem im Bereich der Cybersicherheit: die Verwendung von Open-Source-Software als Waffe. Mit schnellen Bereitstellungsmöglichkeiten, der getarnten Linux-Ausrichtung und einer flexiblen Konfiguration erinnert diese Malware daran, dass Open Source ein zweischneidiges Schwert ist und in den falschen Händen großen Schaden anrichten kann.

Erkennung durch Acronis 

Acronis Cyber Protect Cloud erkennt erfolgreich verschiedene Komponenten der Chaos RAT-Malware als „Trojan.Linux.ChaosRAT.A“, wie die folgenden Screenshots zeigen.  

Acronis
Acronis
Acronis

Acronis hat kürzlich bekannt gegeben, dass Acronis EDR nun auch Linux unterstützt. Mit dieser Weiterentwicklung wird EDR auf gemischte Umgebungen ausgeweitet, so dass ein vollständiger Schutz für Windows-, macOS- und jetzt auch Linux-Workloads möglich ist. Wenn Acronis EDR verdächtige oder schädliche Dateien oder Prozesse auf Linux-Systemen erkennt, werden diese Erkennungen automatisch dem MITRE ATT&CK-Framework zugeordnet, was einen tieferen Einblick in potenzielle Bedrohungen ermöglicht.

Dieses Update unterstützt auch mehrere Behebungsmaßnahmen für Linux-Geräte. Dazu gehören das Beenden bösartiger Prozesse, das Isolieren von Dateien, das Hinzufügen von Objekten zur Positiv- oder Sperrliste und das Wiederherstellen betroffener Systeme aus einem Backup.

Diese neuen Funktionen unterstützen die Betriebssysteme Ubuntu 22.04 und CentOS 7.x und sind auch mit Acronis XDR verfügbar.

 

Kompromittierungsindikatoren

Dateien

SHA256
1e074d9dca6ef0edd24afb2d13ca4429def5fc5486cd4170c989ef60efd0bbb0 d0a63e059ed2c921c37c83246cdf4de0c8bc462b7c1d4b4ecd23a24196be7dd7 773c935a13ab49cc4613b30e8d2a75f1bde3b85b0bba6303eab756d70f459693 c8dc86afd1cd46534f4f9869efaa3b6b9b9a1efaf3c259bb87000702807f5844 90c8b7f89c8a23b7a056df8fd190263ca91fe4e27bda174a9c268adbfc5c0f04 8c0606db237cfa33fa3fb99a56072063177b61fa2c8873ed6af712bba2dc56d9 2732fc2bb7b6413c899b6ac1608818e4ee9f0e5f1d14e32c9c29982eecd50f87 839b3a46abee1b234c4f69acd554e494c861dcc533bb79bd0d15b9855ae1bed7 77962a384d251f0aa8e3008a88f206d6cb1f7401c759c4614e3bfe865e3e985c 57f825a556330e94d12475f21c2245fa1ee15aedd61bffb55587b54e970f1aad 44c54d9d0b8d4862ad7424c677a6645edb711a6d0f36d6e87d7bae7a2cb14d68 c9694483c9fc15b2649359dfbd8322f0f6dd7a0a7da75499e03dbc4de2b23cad 080f56cea7acfd9c20fc931e53ea1225eb6b00cf2f05a76943e6cf0770504c64 a583bdf46f901364ed8e60f6aadd2b31be12a27ffccecc962872bc73a9ffd46c a364ec51aa9314f831bc498ddaf82738766ca83b51401f77dbd857ba4e32a53b a6307aad70195369e7ca5575f1ab81c2fd82de2fe561179e38933f9da28c4850 c39184aeb42616d7bf6daaddb9792549eb354076b4559e5d85392ade2e41763e 67534c144a7373cacbd8f9bd9585a2b74ddbb03c2c0721241d65c62726984a0a 719082b1e5c0d18cc0283e537215b53a864857ac936a0c7d3ddbaf7c7944cf79

YARA 

rule ELF_Chaos_RAT  

meta:  

    description = "Detects Linux ELF binaries <10MB with indicators of CHAOS-RAT-generated payloads" 

    author = "Acronis TRU"  

    date = "2025-04-16" 

strings:    

$chaos = "tiagorlampert/CHAOS" ascii    

$library1 = "BurntSushi/xgb" ascii    

$library2 = "gen2brain/shm" ascii    

$library3 = "kbinani/screenshot" ascii  

condition:     uint32(0) == 0x464c457f and // ELF magic number in little-endian    

filesize < 10MB and 

$chaos and    

2 of ($library*)   

Referenzen und verwandte Publikationen (in chronologischer Reihenfolge)

1.     Tweet über das Chaos RAT (von Cyberteam008)  15. April 2025.  https://x.com/Cyberteam008/status/1889516549129802007

 

2.     GitHub Advisory Database. tiagorlampert Chaos ist anfällig für Cross-Site-Scripting (CVE-2024-31839)  12. April 2024.  https://github.com/advisories/GHSA-c5rv-hjjc-jv7m

 

3.     Ausführung von Remote-Code auf Chaos Rat-Malware über gefälschte Agenten (von Chebuya)  5. April 2024.  https://blog.chebuya.com/posts/remote-code-execution-on-chaos-rat-via-spoofed-agents/

 

4.     Tweet zu CVE-2024-30850 (von Chebuya)  5. April 2024.  https://x.com/_chebuya/status/1776371049095192847

 

5.     MAL_LNX_Chaos_Rat_Dec22 (Valhalla Rule von Nextron-Systems)  14. Dezember 2022.  https://valhalla.nextron-systems.com/info/rule/MAL_LNX_Chaos_Rat_Dec22

 

6.     Chaos ist ein Go-basiertes Schweizer Taschenmesser unter den Malware-Programmen (Lumen Blog)  28. September 2022.  https://blog.lumen.com/chaos-is-a-go-based-swiss-army-knife-of-malware/

 

7.     CHAOS: Remote Administration Tool (GitHub Repository)  https://github.com/tiagorlampert/CHAOS