ChaosBot:基于Rust的后门利用Discord进行C2通信——Chaos勒索软件新增破坏性功能与剪贴板劫持

安全公司披露了Chaos生态系统的两项新进展:新型Rust后门ChaosBot用于侦察与远程命令执行,以及升级版Chaos-C++勒索软件新增文件破坏性删除与剪贴板劫持功能,攻击组合滥用凭证、钓鱼、DLL旁加载及非常规C2通道。

ChaosBot部署方式

eSentire调查发现初始访问通过被盗凭证实现:包括VPN凭证和名为serviceaccount的过度特权Active Directory账户。攻击者利用WMI在环境中运行远程命令并部署后门。其他观测到的投递方式包括携带恶意Windows LNK快捷方式的钓鱼消息,该快捷方式启动PowerShell单行命令获取并运行载荷,同时显示诱饵PDF(例如伪造的越南国家银行信函)以分散受害者注意力。

技术特征:ChaosBot行为

ChaosBot的关键技术特点包括:

  • 语言与持久化:后门使用Rust编写,DLL载荷(msedge_elf.dll)通过捆绑的Edge辅助二进制文件(identity_helper.exe)进行DLL旁加载。
  • 通过Discord进行C2:操作者使用Discord用户账户(特别是chaos_00019和lovebb0024)并创建以受害者主机名命名的频道来发布命令和外传数据——这是一种轻量级、弹性且混入合法流量的C2通道。
  • 代理与横向移动:植入程序下载快速反向代理(FRP)以打开受损网络的入口并维持持久远程访问。还尝试配置VS Code Tunnel作为备用后门,但据报这些尝试失败。
  • 功能:观测到的支持命令包括shell(执行PowerShell/命令)、scr(屏幕截图捕获)、download(拉取文件)和upload(将文件推回Discord频道)。
  • 规避:新变种通过修补ntdll!EtwEventWrite(修补前几条指令以中和跟踪)来实施ETW规避,并检查VMware/VirtualBox常用的MAC地址前缀以避免在虚拟机或沙箱中执行。

Chaos-C++勒索软件:破坏性策略与剪贴板劫持

Fortinet报告称Chaos-C++勒索软件家族采用了更激进的货币化技术:

  • 破坏性删除:勒索软件可以不可逆地删除大于约1.3 GB的文件,而不是加密它们,从而加剧对受害者的破坏性影响。
  • 剪贴板劫持:恶意软件监控系统剪贴板,并将加密货币地址(例如比特币)替换为攻击者控制的钱包地址以拦截转账。
  • 执行流程与持久化:下载器伪装成System Optimizer v2.1等实用程序。执行时检查%APPDATA%\READ_IT.txt以决定行为:如果存在,则进入监控模式(剪贴板监视);否则,检查管理员权限,然后在加密小于约50 MB的文件之前禁用恢复选项,并跳过50 MB至1.3 GB之间的文件。
  • 强加密与回退:使用对称/非对称方法加密,并包含XOR回退,据报是为了确保即使加密例程失败也能破坏文件。

运营情况与观测目标

eSentire的检测与金融服务客户相关,但这些策略广泛适用于暴露VPN/远程访问服务或运行遗留/高特权账户的企业环境。

Discord(一个合法的协作平台)的武器化使出口过滤和检测复杂化,而LNK投递和DLL旁加载在绕过简单防御方面仍然有效。

凭证滥用、通过WMI的远程命令执行、FRP隧道和文件外传的组合表明攻击者能力较强、机会主义,动机在于获取访问权、持久化和潜在勒索。

检测与缓解指南

检测和缓解ChaosBot / Chaos-C++活动的实际步骤:

凭证与账户

  • 立即轮换VPN和服务账户凭证,并强制执行唯一、最小权限的服务账户。
  • 要求VPN和任何远程访问进行多因素认证(MFA)。
  • 审计serviceaccount和其他特权AD账户——移除不必要的权限并启用即时(JIT)或刚好足够管理(JEA)控制。

终端与遥测

  • 检测可疑的DLL旁加载(例如identity_helper.exe启动非标准DLL)并监控生成网络代理或FRP二进制文件的进程。
  • 对从LNK文件、Office/Explorer上下文或临时文件夹启动的PowerShell单行命令发出警报。
  • 监控修补的ETW调用(对ntdll!EtwEventWrite的意外修改)以及指示VM规避逻辑的MAC地址或环境检查。
  • 标记意外的VS Code Tunnel / 远程访问服务注册和到Discord端点的异常出站连接。

网络与出口

  • 限制对Discord的出站访问,或要求对允许的协作平台进行代理/检查。
  • 阻止或检查到FRP端点和其他动态反向代理服务的连接。
  • 在可行的情况下实施严格的出口过滤和TLS检查,以检测隐藏在合法协议内的C2流量。

电子邮件与用户弹性

  • 在电子邮件网关上阻止LNK附件或将附件转换为安全预览;禁止从用户下载文件夹执行。
  • 教育用户谨慎对待未经请求的归档/快捷方式和意外PDF——特别是那些要求“打开”或包含附件的。

备份与恢复

  • 维护气隙、不可变的备份并测试恢复过程。鉴于勒索软件的破坏性选项,备份是关键缓解措施。
  • 限制文件系统和备份服务权限,使勒索软件进程无法删除备份。

狩猎与响应

  • 狩猎指标:不寻常的Discord API使用、FRP二进制文件、msedge_elf.dll或identity_helper.exe异常、PowerShell下载器、新的持久性服务以及%APPDATA%\READ_IT.txt的CREATE/WRITE操作。
  • 隔离受影响的主机,收集内存和磁盘镜像进行取证分析,并查找通过WMI或计划任务的横向移动。
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次