サイバーセキュリティ研究者たちは、設定不備のあるクラウドデプロイメントを攻撃できるChaosマルウェアの新しい亜種を発見しました。これは、ボットネットの標的インフラストラクチャの拡大を意味します。 Darktraceは新しいレポートで、「Chaosマルウェアは、ルーターやエッジデバイスへの従来の焦点を超えて、設定不備のあるクラウドデプロイメントをますます標的にしています」と述べています。 ### Chaos：概要 Chaosは、2022年9月にLumen Black Lotus Labsによって初めて文書化されました。これは、WindowsおよびLinux環境を標的にできるクロスプラットフォームマルウェアです。その機能には、リモートシェルコマンドの実行、追加モジュールのドロップ、SSHキーのブルートフォースによる他のホストへの拡散、仮想通貨マイニング、HTTP、TLS、TCP、UDP、WebSocketを介した分散型サービス拒否（DDoS）攻撃の実行が含まれます。 このマルウェアは、設定不備のあるDockerインスタンスを標的としていた別のDDoSマルウェアであるKaijiの進化版と評価されています。この操作の背後にいる攻撃者は現在不明ですが、中国語の文字の存在と中国ベースのインフラストラクチャの使用は、攻撃者が中国起源である可能性を示唆しています。 ### Hadoopデプロイメントの標的化 Darktraceは先月、自社のハニーポットネットワークがこの新しい亜種に標的にされたことを特定しました。具体的には、サービス上でリモートコード実行を可能にする意図的に設定不備のあるHadoopインスタンスでした。攻撃は、HadoopデプロイメントへのHTTPリクエストで新しいアプリケーションを作成することから始まりました。 アプリケーションには、攻撃者制御サーバー（"pan.tenire[.]com"）からChaosエージェントバイナリを取得し、すべてのユーザーが読み取り、変更、または実行できるように権限を設定し（"chmod 777"）、その後バイナリを実行してフォレンジックトレイルを最小限に抑えるためにディスクからアーティファクトを削除する一連のシェルコマンドが埋め込まれていました。 ### Silver Foxとの関連 興味深いことに、攻撃で使用されたドメインは、以前に中国のサイバー犯罪グループSilver Foxが、デコイ文書とValleyRATマルウェアを配信するために実施した電子メールフィッシングキャンペーンに関連付けられていました。このキャンペーンは、2025年10月にSeqrite LabsによってOperation Silk Lureと名付けられました。 ### 更新された機能 64ビットELFバイナリは、Chaosの再構築および更新されたバージョンであり、コア機能セットのほとんどをそのまま維持しながら、いくつかの機能を再構築しています。主な変更点は、SSH経由での拡散やルーターの脆弱性を悪用する機能を削除したことです。 それらに取って代わったのは、侵害されたシステムをトラフィックの運搬に使用できる新しいSOCKSプロキシ機能であり、悪意のあるアクティビティの真の起源を隠蔽し、防御者が攻撃を検出してブロックすることをより困難にします。 Darktraceはさらに、「さらに、以前はKaijiから継承されたと考えられていたいくつかの機能も変更されており、攻撃者がマルウェアを書き直したか、大幅にリファクタリングしたことを示唆しています」と付け加えています。 ### 収益化と将来の脅威 プロキシ機能の追加は、マルウェアの背後にある攻撃者が、仮想通貨マイニングやDDoS攻撃の請負を超えてボットネットをさらに収益化しようとしており、サイバー犯罪市場の競合他社に追いつくために、多様な違法サービスを提供しようとしていることを示唆しています。 Darktraceは、「Chaosは新しいマルウェアではありませんが、その継続的な進化は、サイバー犯罪者がボットネットを拡大し、利用可能な機能を強化することに専念していることを浮き彫りにしています。AISURUやChaosのようなボットネットがプロキシサービスをコア機能に含めるように最近シフトしたことは、サービス拒否がこれらのボットネットが組織とそのセキュリティチームに及ぼす唯一のリスクではなくなったことを示しています」と結論付けています。