في تهديد جديد لأنظمة التشغيل المختلفة، رصد خبراء الأمن السيبراني من شركة Acronis حملة هجومية تستخدم نسخة مطورة من برنامج التحكم عن بعد الخبيث المعروف بـ Chaos RAT.
وقد تم توجيه هذه الحملة خصيصا ضد مستخدمي أنظمة ويندوز ولينكس، حيث يتم خداع الضحايا لتنزيل أداة صيانة شبكية مزيفة تحتوي على البرمجية الخبيثة.
Chaos RAT: قوة خبيثة متعددة المنصات
تمت برمجة Chaos RAT بلغة Go (Golang)، وهي لغة شهيرة تدعم الأداء عبر المنصات، مما يجعل البرمجية قادرة على العمل بكفاءة على أنظمة ويندوز ولينكس معاً. ويستمد Chaos RAT قوته من أدوات شهيرة مثل Cobalt Strike وSliver، حيث يحتوي على لوحة تحكم متكاملة تتيح للمهاجمين إنشاء حمولات خبيثة والتحكم الكامل في الأجهزة المصابة، مما يجعله أداة مثالية في أيدي المهاجمين المحترفين.
من أداة إدارية إلى تهديد نشط في حملات التعدين
على الرغم من أن تطوير Chaos RAT بدأ منذ عام 2017، إلا أن استخدامه في حملات خبيثة لم يُرصد بشكل فعلي حتى نهاية 2022، حين تم استغلاله في هجمات استهدفت تطبيقات ويب مستضافة على أنظمة لينكس لتثبيت أداة التعدين XMRig. ومنذ ذلك الحين، أصبح البرنامج أداة فعالة في هجمات تعتمد على البريد الإلكتروني التصيدي لنشر الفيروسات وتنفيذ أوامر متعددة على الأجهزة المخترقة.
خصائص متقدمة للتجسس والتحكم الكامل
بمجرد تنصيبه، يتصل Chaos RAT بخادم خارجي وينتظر الأوامر التي تشمل تنفيذ قواقع عكسية (reverse shells)، تحميل أو حذف ملفات، التقاط صور الشاشة، جمع معلومات النظام، وحتى إعادة تشغيل أو إغلاق الجهاز. النسخة الأحدث من هذا البرنامج، الإصدار 5.0.3، تم إصدارها في 31 مايو 2024، وتتميز بقدرات محسّنة على مستوى السيطرة والاستمرارية.
نصيحة أمنية وتحذير للمستخدمين
تؤكد Acronis أن النسخ الخبيثة من Chaos RAT تم رصدها في البيئة الواقعية، غالباً ضمن حملات تعدين العملات الرقمية. وتستغل الهجمات مرفقات وروابط مزيفة في رسائل البريد الإلكتروني لتثبيت برمجيات تقوم بتعديل ملف المهام المجدولة /etc/crontab على أنظمة لينكس، ما يسمح بإعادة تحميل البرنامج الخبيث بشكل دوري.
