Το ChaosBot είναι ένα backdoor γραμμένο σε Rust που επιτρέπει σε χειριστές να κάνουν αναγνώριση και να εκτελούν αυθαίρετες εντολές σε μολυσμένα συστήματα. Οι ερευνητές της eSentire το εντόπισαν για πρώτη φορά στα τέλη Σεπτεμβρίου 2025 στο περιβάλλον πελάτη χρηματοοικονομικής εταιρείας.
Διανέμεται μέσω παραβιασμένων διαπιστευτηρίων VPN και υπερέχοντος λογαριασμού Active Directory αλλά και μέσω phishing με κακόβουλο αρχείο LNK που εκτελεί PowerShell και εμφανίζει δεκαoy PDF ως απόσπαση προσοχής. Το payload είναι μια DLL msedge_elf.dll που sideloads μέσω του identity_helper.exe του Edge, εκτελεί αναγνώριση και κατεβάζει έναν fast reverse proxy για επίμονη πρόσβαση.
Αξιοποίηση του Discord ως C2
Το χαρακτηριστικό που ξεχωρίζει είναι η χρήση του Discord για command‑and‑control: ο επιτιθέμενος διατηρεί λογαριασμό με το ψευδώνυμο chaos_00019 και ένα δεύτερο lovebb0024, δημιουργώντας κανάλια με το όνομα του μολυσμένου υπολογιστή για να στέλνει εντολές.
Υποστηρίζονται εντολές όπως shell για PowerShell, scr για στιγμιότυπα οθόνης, download, upload. Νέες παραλλαγές περιλαμβάνουν τεχνικές αποφυγής όπως το patch του ntdll!EtwEventWrite και έλεγχο MAC για εικονικές μηχανές.
Chaos‑C++ ransomware: Καταστροφικές δυνατότητες
Παράλληλα, η Fortinet αναφέρει νέο Chaos‑C++ ransomware που διαγράφει αρχεία μεγαλύτερα από 1.3 GB και αντικαθιστά διευθύνσεις Bitcoin στο πρόχειρο για κλοπή κεφαλαίων. Μιμείται δήθεν βοηθητικά προγράμματα και ελέγχει το %APPDATA%\READ_IT.txt για να αποφασίσει λειτουργία παρακολούθησης ή κρυπτογράφησης.
Όπου έχει δικαιώματα διαχειριστή, απενεργοποιεί αποκατάσταση συστήματος και κρυπτογραφεί ή καταστρέφει αρχεία με συνδυασμό μεθόδων, καθιστώντας την αντιμετώπιση πιο δύσκολη.
Οι επιθέσεις δείχνουν αυξημένη πολυπλοκότητα, συνδυάζοντας social engineering, sideloading και τεχνικές αποφυγής ανίχνευσης. Ο συνδυασμός Discord ως καναλιού C2, reverse proxy και επιχείρηση για πρόσβαση μέσω VPN/AD υπογραμμίζει την ανάγκη για έλεγχο ταυτότητας πολλαπλών παραγόντων, αυστηρή διαχείριση δικαιωμάτων λογαριασμών και παρακολούθηση ασυνήθιστων μεταφορών δικτύου.
Οι οργανισμοί πρέπει να ενισχύσουν ενημερώσεις, logging και εκπαίδευση προσωπικού. Επίσης, λύσεις EDR και κανόνες IDS/IPS κρίνουν απαραίτητα και τακτικούς ελέγχους.
