Chaos RaaS 駭客組織
一個名為 Chaos 的新興勒索軟體即服務 (RaaS) 行動已進入威脅領域,在網路安全界敲響警鐘。 Chaos 於 2025 年 2 月首次被發現,似乎與 BlackSuit 團伙的前成員密切相關,該團伙的暗網基礎設施最近在「Checkmate 行動」中被執法部門摧毀。儘管名字如此,但 Chaos 與先前的 Chaos 勒索軟體建構者(例如 Yashma 或 Lucky_Gh0$t)並無關聯,這為本已複雜的威脅增添了一層刻意的迷霧。
目錄
混亂戰術:從垃圾郵件到社會工程學
Chaos 攻擊者使用的攻擊鏈始於低強度的垃圾郵件泛洪,並迅速升級為語音釣魚 (Vishing)。攻擊者使用這些技術誘騙目標安裝遠端桌面軟體(尤其是 Microsoft Quick Assist),以取得初始存取權限。
一旦入侵,他們就會部署一系列遠端監控和管理 (RMM) 工具,例如 AnyDesk、ScreenConnect、OptiTune、Syncro RMM 和 Splashtop,以對受感染網路建立持久控制。入侵後的操作包括竊取憑證、刪除 PowerShell 事件日誌以及移除安全性工具,以削弱偵測和回應能力。
大型狩獵和雙重勒索
Chaos 採取了「大獵物狩獵」策略,以高價值實體為目標,使用雙重勒索技術。這意味著他們不僅加密文件,還威脅除非支付贖金,否則將洩露被盜資料。該組織利用合法的文件同步軟體 GoodSync 竊取敏感數據,然後再啟動勒索軟體負載。
最後階段涉及部署一個多線程勒索軟體二進位文件,該二進位檔案能夠快速加密本地和網路資源。為了進一步阻礙復原工作並逃避偵測,該勒索軟體採用了先進的反分析策略,包括針對虛擬機器、偵錯工具、自動沙盒和其他威脅分析環境的防禦措施。
跨平台相容性和高額贖金
Chaos 勒索軟體功能極為豐富,已確認相容於 Windows、Linux、ESXi 和 NAS 系統。攻擊者要求高額贖金,通常約為 30 萬美元,以換取解密工具和所謂的“詳細滲透概述”,其中包含攻擊鍊和安全建議。
大多數已知受害者都位於美國,這使其成為這一不斷演變的威脅的主要目標地區。
過去的迴響:混亂與黑衣人的聯繫
雖然 Chaos 是一個新名字,但其技術和基礎設施卻展現出清晰的血統。分析家指出,其行動與 BlackSuit 有許多重疊,包括以下幾個面向:
- 加密命令
- 贖金信的結構和語氣
- 使用相同的 RMM 工具
這意義重大,因為 BlackSuit 本身就是 Royal 的品牌重塑,而 Royal 的前身則是臭名昭著的 Conti 勒索軟體集團。身分的不斷變化表明,這些威脅行為者如何重塑品牌、重組組織,以領先執法部門並保持行動勢頭。
「將死行動」:執法單位的戰術勝利
Chaos 的出現恰逢執法部門在打擊 BlackSuit 暗網基礎設施方面取得重大勝利。造訪這些被查封網站的訪客現在會看到來自美國國土安全調查局的醒目頁面,聲明這些網站是作為國際協調行動的一部分被沒收的。然而,當局尚未就此次行動發布官方聲明。
最後的想法:混亂帶來複雜性和欺騙
Chaos 是複雜的間諜手段和欺騙性品牌宣傳的危險組合。它使用合法工具、定向攻擊和反偵測策略,構成了重大威脅。組織必須保持警惕,不僅要加強對惡意軟體本身的防禦,還要加強對使其最初得逞的社會工程手段的防禦。
