Вредоносное ПО ChaosBot использует Discord для управления зараженным компьютером
Обнаружен бэкдор ChaosBot на базе Rust. Он позволяет операторам собирать данных и выполнять произвольные команды на взломанных устройствах.
Злоумышленники использовали учетные данные, подходящие для Cisco VPN и Active Directory с повышенными привилегиями "serviceaccount". С помощью полученного доступа применялись инструменты WMI для исполнения удаленных команд внутри корпоративной инфраструктуры. Это значительно упростило распространение и активацию ChaosBot.
Впервые вредонос был обнаружен в сентябре 2025 года в инфраструктуре финансового учреждения.
Особенность ChaosBot заключается в управлении и контроле через Discord.
Для заражения используется социальная инженерия. На электронную почту поступают фишинговые письма с вложением Windows Shortcut (.lnk). После открытия файла запускается команда PowerShell, которая устанавливает основной компонент ChaosBot. Для отвлечения внимания открывается фальшивый PDF-документ.
Полезная нагрузка представляет собой библиотеку DLL, которая внедряется с помощью исполняемого файла Microsoft Edge — «identity_helper.exe». Далее ChaosBot проводит разведку системы, устанавливает FRP для обеспечения постоянного доступа к сети.
Специалисты обнаружили неудачную попытку установить дополнительный бэкдор через попытку настройки службы Visual Studio Code Tunnel. Основная функция – взаимодействие с Discord для получения дальнейших инструкций.
Среди поддерживаемых команд:
Выполнение команд оболочки через PowerShell
Захват скриншотов
Загрузка файлов на заражённое устройство
Отправка файлов на сервер Discord
Эксперты отмечают, что новые версии ChaosBot применяют механизмы защиты от обнаружения: одна методика включает модификацию инструкции EtwEventWrite в библиотеке ntdll, вторая — проверку MAC-адресов устройств на принадлежность к популярным гипервизорам вроде VMware и VirtualBox, прекращая свою активность в случае выявления виртуальной среды.
Мы внедряем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Оставьте свой контакт на главной странице и мы поможем с решением проблемы любой сложности!