MalwareCloud-SicherheitHackerangriffe

Chaos-Malware greift nun Cloud-Deployments an – mit neuem SOCKS-Proxy-Modul

Chaos-Malware greift nun Cloud-Deployments an – mit neuem SOCKS-Proxy-Modul
Zusammenfassung

Die Malware Chaos entwickelt sich zu einer wachsenden Bedrohung für Cloud-Infrastrukturen weltweit. Sicherheitsforscher haben eine neue Variante des Botnetzes identifiziert, die gezielt fehlkonfigurierte Cloud-Deployments angreift und ihr Angriffsrepertoire erheblich erweitert hat. Ursprünglich 2022 dokumentiert und auf Router sowie Edge-Geräte fokussiert, zielt die aktualisierte Version nun auf vulnerabel konfigurierte Cloud-Services wie Hadoop und Docker-Instanzen ab. Besonders bemerkenswert ist die Integration einer neuen SOCKS-Proxy-Funktion, die es Angreifern ermöglicht, kompromittierte Systeme als Zwischenstationen für malicious Traffic zu missbrauchen und ihre Aktivitäten zu verschleieren. Die Verbindung zu früheren Kampagnen der chinesischen Cybercrime-Gruppe Silver Fox deutet auf eine mögliche Akteurschaft aus China hin. Für deutsche Unternehmen und Behörden stellt diese Entwicklung ein erhebliches Risiko dar, insbesondere für solche, die Cloud-Services ohne angemessene Sicherheitskonfigurationen nutzen. Die kontinuierliche Weiterentwicklung von Chaos zeigt die Entschlossenheit von Cyberkriminellen, ihre Botnetze zu monetarisieren und diversifizieren – weit über DDoS-Angriffe und Kryptomining hinaus.

Die Cybersicherheitsfirma Darktrace hat in ihrem aktuellen Report einen bedeutsamen Wandel bei der Chaos-Malware dokumentiert. Das Botnet, das vermutlich von chinesischen Cyberkriminellen gesteuert wird, entwickelt sich kontinuierlich weiter und richtet sich zunehmend gegen Cloud-Infrastrukturen statt klassischer Netzwerk-Hardware. Dies markiert eine strategische Verschiebung in der Angriffsstrategie und deutet auf zunehmende Professionalisierung hin.

Die Ursprünge von Chaos liegen in der Kaiji-Malware, die bereits auf Docker-Container spezialisiert war. Die neue Variante wurde in einem Honeypot entdeckt, das Darktrace gezielt als fehlkonfigurierte Hadoop-Instanz aufgebaut hatte. Der Angriffsablauf war präzise orchestriert: Ein HTTP-Request an die Hadoop-Deployment sollte eine neue Anwendung erstellen. Diese Anwendung enthielt wiederum Shell-Befehle zum Download eines Chaos-Agent-Binaries vom Server “pan.tenire[.]com”, Berechtigungsvergabe per “chmod 777” und direkte Ausführung des Malware-Codes.

Besonders interessant ist die infrastrukturelle Verbindung: Die Domäne wurde zuvor in einer Phishing-Kampagne der chinesischen Cyberkriminal-Gruppe Silver Fox verwendet – codenamed Operation Silk Lure – um ValleyRAT-Malware zu verteilen. Dies deutet auf mögliche Überschneidungen oder Kooperationen zwischen Cyberkriminellen hin.

Die 64-Bit ELF-Binary der neuen Variante wurde umfassend überarbeitet. Ein kritischer Unterschied: Die bisherigen SSH-Propagationsfunktionen und Router-Exploits wurden entfernt und durch einen SOCKS-Proxy ersetzt. Dies ist kein einfacher Funktionswechsel – es zeigt eine strategische Neuausrichtung. Der Proxy ermöglicht es Angreifern, kompromittierte Systeme als Relay-Punkte zu missbrauchen und damit ihre Aktivitäten zu verschleiern. Dies erleichtert ihnen, Erkennungs- und Blockierungsmechanismen zu umgehen.

Darktrace betont, dass diese Entwicklung für neue Geschäftsmodelle im Cyberkriminalmarkt steht. Neben Kryptomining und DDoS-for-Hire bieten moderne Botnets nun auch Proxy-Services an. Das Botnet AISURU zeigt ähnliche Tendenzen. Dies bedeutet: Botnets sind nicht länger reine DDoS-Werkzeuge, sondern vielseitige Infrastrukturen zur Monetisierung und zum Einsatz in anderen Cyberangriffen.

Für deutsche Organisationen ist dies ein klares Signal: Cloud-Infrastrukturen müssen maximal gesichert sein, Misconfigurationen sind unmittelbare Angriffsvektoren. Die kontinuierliche Weiterentwicklung von Chaos zeigt, dass Cyberkriminelle ihre Werkzeuge ständig anpassen und optimieren.

Ähnliche Artikel