偽のネットワークツールダウンロードを介してWindowsおよびLinuxを狙うChaos RATマルウェア

記事本文（要約）

脅威ハンターが、新しいリモートアクセス型トロイの木馬（RAT）の一種であるChaos RATに注目しています。このマルウェアは、WindowsとLinuxシステムを標的にした最近の攻撃で使用されました。Acronisによると、このマルウェアはLinux環境用のネットワークトラブルシューティングユーティリティに見せかけて配布されている可能性があります。Chaos RATは、Golangで書かれたオープンソースのRATで、WindowsとLinuxのクロスプラットフォームをサポートしています。

Chaos RATは2017年から開発が始まりましたが、2022年12月になって、Linuxシステム上のパブリックウェブアプリケーションをターゲットにした悪意のあるキャンペーンで使用されるまで注目されていませんでした。このマルウェアは、外部サーバーに接続し、逆シェルの開始、ファイルの操作、システム情報の収集などのコマンドを待機します。Linuxバリアントは暗号通貨マイニングキャンペーンに関連して検出されています。

また、Chaos RAT管理ツールにはコマンドインジェクションの脆弱性（CVE-2024-30850、CVSSスコア8.8）とクロスサイトスクリプティング（CVE-2024-31839、CVSSスコア4.8）があり、これらは2024年5月に修正されました。Chaos RATの利用者については特定されていませんが、オープンソースツールが悪用され続ける実例となっています。

さらに、Trust Walletを狙った新しいキャンペーンも浮上しており、マルウェアがデスクトップウォレットやブラウザ拡張機能からデータを抽出する手口が報告されています。

※この要約はChatGPTを使用して生成されました。

公開日: Wed, 04 Jun 2025 18:25:00 +0530

Original URL: https://thehackernews.com/2025/06/chaos-rat-malware-targets-windows-and.html

詳細な技術情報

以下は、文章中で言及されているChaos RAT（Remote Access Trojan）や関連する攻撃に関するセキュリティ分析です。

脆弱性情報

CVE番号と詳細

CVE-2024-30850: コマンドインジェクションの脆弱性。Chaos RATの管理パネルを介して任意のコードを実行し、サーバー上で権限を昇格する可能性があります。CVSSスコアは8.8で、高い危険度です。
CVE-2024-31839: クロスサイトスクリプティング（XSS）の脆弱性。スクリプトを注入することで、管理パネルを操ることができます。CVSSスコアは4.8で、中程度の危険度です。

脆弱性の仕組み

Command Injection (CVE-2024-30850): 不適切な入力検証により攻撃者がシステムコマンドを注入し、実行することが可能です。これにより、システム上で任意のコードが実行されます。
Cross-Site Scripting (CVE-2024-31839): ユーザー入力を適切にエスケープしていないため、スクリプトが注入され、実行される可能性があります。これにより、セッションハイジャックなどが発生する可能性があります。

攻撃手法

フィッシング攻撃：メール内の悪意あるリンクや添付ファイルを通じて、ユーザーを騙し、マルウェアをダウンロードさせます。
持続性の確保：タスクスケジューラ（/etc/crontab）の改変を通じて、定期的にマルウェアをフェッチするように設定する。
悪意あるユーティリティの偽装：ネットワークトラブルシューティングユーティリティとして偽装されたファイルをターゲットに配る。

潜在的な影響

システム制御の奪取：リモートからシステムを制御し、データの抽出、ファイル操作、スクリーンショット取得、システム情報収集、システムのロック・再起動・シャットダウンなどを行うことができます。
データの漏洩：cryptocurrencyウォレットからシードフレーズや秘密鍵を取得するなど、個人の機密情報が漏洩するリスクがあります。
マルウェアの横展開：感染したシステムを足場として、他のシステムへ攻撃を拡大する可能性があります。