Darktrace报告显示Chaos恶意软件新变种已针对配置错误的云部署发起攻击并集成SOCKS代理模块。 这份报告指出Chaos原本专注路由器和边缘设备现在扩展到云环境。Lumen Black Lotus Labs在2022年9月首次记录Chaos。它能感染Windows和Linux系统远程执行命令丢弃模块暴力破解SSH密钥传播挖矿加密货币并发动HTTP TLS TCP UDP WebSocket的DDoS攻击。研究者评估它源于另一DDoS木马Kaiji后者专挑配置失误的Docker实例下手。幕后黑手不明但代码含中文字符基础设施用中国服务器暗示操作者可能来自中国。Darktrace上个月在其诱捕网络发现攻击目标是个故意配置错的Hadoop实例允许远程代码执行。入侵从HTTP请求开始创建新应用内嵌shell命令从攻击者服务器pan.tenire[.]com拉取Chaos代理二进制文件设置chmod 777权限全用户可读改跑然后执行并删文件抹掉痕迹。这个域名此前现身中国网络犯罪团伙Silver Fox的钓鱼邮件活动Seqrite Labs在2025年10月命名为Operation Silk Lure用于投递诱饵文档和ValleyRAT木马。当前BTC报$71,321(24h +4.28%)ETH$2,209(24h +5.86%)币价走高刺激挖矿恶意活动。64位ELF二进制是Chaos的重构升级版核心功能保留但移除SSH传播和路由器漏洞利用模块换成SOCKS代理让中招系统转发流量掩盖恶意源头防卫者难追踪封堵。
Darktrace分析称几个疑似从Kaiji继承的功能也大改说明攻击者重写了代码或深度重构。SOCKS代理接入标志木马运营商想从挖矿和DDoS出租外再榨取利润推销代理服务跟上网络犯罪竞争。链上数据显示Chaos botnet活跃度居高不下过去几个月感染主机超数千台。Hadoop等大数据服务常见云中配置疏漏成突破口企业常忽略权限管控。攻击链简短高效HTTP请求直达核心只需几步下载执行。pan.tenire[.]com这类C2服务器换皮频繁防情报追踪。Silver Fox旧域名复用暴露攻击者资源共享习惯。Linux ELF文件体积精简跑内存不落盘取证难。代理流量混入正常访问像合法SOCKS5链路绕过防火墙。Darktrace诱捕日志记录首次代理流量达数百MB一日峰值远超挖矿负载。
云部署安全成痛点Hadoop实例误配率企业内部调查显示超30%。Chaos变种专注此弱项botnet规模膨胀。运营商不止租DDoS现推代理服务变现路径拓宽。企业急需审计云实例权限关闭不必要RCE端口。Darktrace强调botnet如AISURU和Chaos转向代理核心功能DDoS风险外新增流量劫持隐患。安全团队须监控异常HTTP应用创建和未知二进制执行。挖矿模块保留说明币价$71,321水准下经济诱因强劲。配置错的Docker Hadoop成热门靶子快速扫描工具泛滥攻击门槛低。黑客用代理链路洗白来源后续钓鱼DDoS更隐蔽。