Chaos RaaS 黑客组织
一个名为 Chaos 的新兴勒索软件即服务 (RaaS) 行动已进入威胁领域,在网络安全界敲响警钟。Chaos 于 2025 年 2 月首次被发现,似乎与 BlackSuit 团伙的前成员密切相关,该团伙的暗网基础设施最近在“Checkmate 行动”中被执法部门摧毁。尽管名字如此,但 Chaos 与之前的 Chaos 勒索软件构建者(例如 Yashma 或 Lucky_Gh0$t)并无关联,这给本已复杂的威胁增添了一层刻意的迷雾。
目录
混乱战术:从垃圾邮件到社会工程学
Chaos 攻击者使用的攻击链始于低强度的垃圾邮件泛洪,并迅速升级为语音钓鱼 (Vishing)。攻击者使用这些技术诱骗目标安装远程桌面软件(尤其是 Microsoft Quick Assist),以获取初始访问权限。
一旦入侵,他们就会部署一系列远程监控和管理 (RMM) 工具,例如 AnyDesk、ScreenConnect、OptiTune、Syncro RMM 和 Splashtop,以对受感染网络建立持久控制。入侵后的操作包括窃取凭证、删除 PowerShell 事件日志以及移除安全工具,以削弱检测和响应能力。
大型狩猎和双重勒索
Chaos 采取了“大猎物狩猎”策略,以高价值实体为目标,使用双重勒索技术。这意味着他们不仅加密文件,还威胁除非支付赎金,否则将泄露被盗数据。该组织利用合法的文件同步软件 GoodSync 窃取敏感数据,然后再启动勒索软件负载。
最后阶段涉及部署一个多线程勒索软件二进制文件,该二进制文件能够快速加密本地和网络资源。为了进一步阻碍恢复工作并逃避检测,该勒索软件采用了先进的反分析策略,包括针对虚拟机、调试工具、自动沙盒和其他威胁分析环境的防御措施。
跨平台兼容性和高额赎金
Chaos 勒索软件功能极其丰富,已确认兼容 Windows、Linux、ESXi 和 NAS 系统。攻击者索要高额赎金,通常约为 30 万美元,以换取解密工具和所谓的“详细渗透概述”,其中包含攻击链和安全建议。
大多数已知受害者都位于美国,这使其成为这一不断演变的威胁的主要目标地区。
过去的回响:混乱与黑衣人的联系
虽然 Chaos 是一个新名字,但其技术和基础设施却展现出清晰的血统。分析人士指出,其行动与 BlackSuit 存在诸多重叠,包括以下方面:
- 加密命令
- 赎金信的结构和语气
- 使用相同的 RMM 工具
这意义重大,因为 BlackSuit 本身就是 Royal 的品牌重塑,而 Royal 的前身是臭名昭著的 Conti 勒索软件集团。身份的不断变化表明,这些威胁行为者如何重塑品牌、重组组织,以领先于执法部门并保持行动势头。
“将死行动”:执法部门的战术胜利
Chaos 的出现恰逢执法部门在打击 BlackSuit 暗网基础设施方面取得重大胜利。访问这些被查封网站的访客现在会看到来自美国国土安全调查局的醒目页面,声明这些网站是作为国际协调行动的一部分被没收的。然而,当局尚未就此次行动发布官方声明。
最后的想法:混乱带来复杂性和欺骗
Chaos 是复杂的间谍手段和欺骗性品牌宣传的危险结合。它使用合法工具、定向攻击和反检测策略,构成了重大威胁。组织必须保持警惕,不仅要加强对恶意软件本身的防御,还要加强对使其最初得逞的社会工程手段的防御。
