A variante foi observada contra um serviço Hadoop deliberadamente exposto, remove funções antigas de propagação por SSH e passa a usar hosts comprometidos como infraestrutura de encaminhamento de tráfego.
| Componente | Variante 64 bits em formato ELF do malware Chaos, observada contra uma implantação Hadoop mal configurada em ambiente de nuvem. |
| Vetor | Requisição HTTP ao serviço Hadoop para criar uma aplicação que aciona execução remota de código e recupera um binário de agente a partir de infraestrutura controlada pelo operador. |
| Impacto | Execução do agente Chaos no host exposto, com capacidade preservada para comandos remotos, módulos adicionais, mineração de criptomoeda e ataques DDoS; a variante também adiciona proxy SOCKS para encaminhar tráfego por sistemas comprometidos. |
| Prioridade | Remover exposição indevida de serviços Hadoop, revisar permissões e criação de aplicações, procurar downloads de binários ELF a partir de domínios externos e conter hosts usados como proxy. |
| Artefatos | Binário Linux 64 bits em formato ELF, execução com permissões amplas no sistema local e remoção posterior do artefato para reduzir rastros forenses. |
| IoCs | Domínio de entrega observado: pan.tenire[.]com, citado aqui de forma defangada. |
| Mitigação | Isolar serviços de dados da internet, exigir autenticação e controle de rede para interfaces administrativas, registrar criação de aplicações e bloquear execução de binários baixados por processos de serviço. |
Uma nova variante do malware Chaos foi observada mirando implantações de nuvem configuradas de forma insegura, ampliando o foco histórico do botnet para além de roteadores e dispositivos de borda. A atividade foi identificada em uma rede de honeypots com uma instância Hadoop deliberadamente mal configurada, capaz de permitir execução remota de código no serviço. O ponto central da intrusão não foi uma campanha de phishing no endpoint do usuário nem uma exploração genérica de navegador, mas o abuso direto de uma superfície de administração exposta, na qual o operador conseguiu criar uma aplicação por meio de uma requisição HTTP e acionar comandos no ambiente do serviço.
O Chaos já era conhecido como malware multiplataforma com suporte a ambientes Windows e Linux, execução de comandos remotos, carregamento de módulos adicionais, mineração de criptomoeda e ataques distribuídos de negação de serviço usando protocolos como HTTP, TLS, TCP, UDP e WebSocket. A variante analisada mantém grande parte desse conjunto de recursos, mas muda pontos importantes da arquitetura: funções associadas à disseminação por chaves SSH e exploração de vulnerabilidades em roteadores foram removidas, enquanto um recurso de proxy SOCKS foi adicionado. Essa alteração muda a leitura defensiva do incidente, porque um host comprometido não serve apenas como nó de DDoS ou mineração; ele também pode virar ponto de encaminhamento para ocultar a origem de tráfego malicioso.
A cadeia observada começa com uma requisição HTTP direcionada à implantação Hadoop exposta. Essa requisição cria uma nova aplicação no ambiente e embute uma sequência de ações que recupera um agente Chaos a partir de um servidor controlado pelo operador. O domínio de entrega citado no material técnico, pan.tenire[.]com, também aparece associado anteriormente a uma campanha de phishing por e-mail atribuída ao grupo de cibercrime Silver Fox, usada para distribuir documentos isca e o malware ValleyRAT em uma operação chamada Operation Silk Lure. Essa sobreposição de infraestrutura não confirma, por si só, a mesma autoria para a atividade contra Hadoop, mas é um dado útil para correlação de inteligência e enriquecimento de investigações.
Depois do download, o fluxo altera permissões do artefato local para permitir leitura, modificação e execução por usuários do sistema, executa o binário e remove o arquivo do disco para reduzir evidências imediatas. O comando operacional específico não deve ser tratado como instrução de reprodução; defensivamente, o efeito relevante é a combinação de download de binário ELF, mudança incomum de permissões, execução por processo relacionado ao serviço exposto e tentativa de apagar o artefato logo após a execução. Esse padrão é compatível com intrusões automatizadas em serviços de nuvem mal configurados, nas quais o operador busca transformar rapidamente uma falha de exposição em execução persistente ou em capacidade funcional de botnet.
O binário observado é um ELF de 64 bits e foi descrito como uma versão reestruturada do Chaos. A refatoração preserva capacidades centrais, mas altera funções herdadas ou associadas ao malware Kaiji, família de DDoS que já havia sido relacionada a instâncias Docker mal configuradas. A remoção de mecanismos antigos de propagação por SSH e de exploração contra roteadores sugere uma adaptação de foco: em vez de depender da expansão automática por dispositivos de rede, a variante passa a valorizar nós de nuvem expostos e o uso desses nós como infraestrutura intermediária. O recurso de proxy SOCKS permite encaminhar tráfego por sistemas comprometidos, dificultando bloqueios baseados apenas no endereço de origem e ampliando a utilidade econômica do botnet além de DDoS e mineração.
A superfície técnica confirmada no caso observado é uma instância Hadoop mal configurada, com capacidade de receber requisições que criam aplicações e levam à execução remota de código. O risco se concentra em serviços de dados, orquestração, computação distribuída e administração que ficam acessíveis sem segmentação adequada, autenticação robusta ou filtragem de origem. Embora o histórico do Chaos inclua Windows, Linux, roteadores, dispositivos de borda e ambientes com Docker mal configurado por associação com o ecossistema de malware relacionado, a atividade descrita aqui deve ser tratada principalmente como abuso de serviço de nuvem exposto e execução de binário Linux em host vulnerável à execução remota.
Ambientes com cargas de trabalho em nuvem costumam ter permissões de saída amplas, acesso a metadados, conectividade lateral e capacidade de processamento suficiente para mineração ou proxy. O material analisado não confirma roubo de dados, movimentação lateral nem abuso de credenciais de nuvem nessa intrusão específica, portanto o impacto deve permanecer limitado ao que foi observado e ao que as capacidades do malware suportam. Ainda assim, a presença de proxy SOCKS aumenta o valor do host comprometido: o sistema pode ser usado para intermediar conexões de terceiros, mascarar tráfego de abuso, contornar bloqueios simples e criar ruído operacional em investigações de rede.
A prioridade para operadores é identificar onde serviços Hadoop ou equivalentes estão expostos, quais interfaces aceitam criação de aplicações ou execução de tarefas e quais processos têm permissão para baixar e executar arquivos externos. O foco não deve ficar restrito ao perímetro clássico. Contas de serviço, nós de processamento, imagens de máquina, políticas de firewall de nuvem, grupos de segurança e regras de saída precisam ser avaliados como parte da mesma superfície.
- Instâncias
Hadoopacessíveis por rede sem controles suficientes para criação de aplicações ou execução remota. - Hosts Linux capazes de baixar e executar binários
ELFa partir de domínios externos. - Ambientes de nuvem com tráfego de saída amplo, sem inspeção de destino, volume ou processo originador.
- Serviços administrativos, de dados ou computação distribuída publicados fora de redes restritas.
A busca deve começar pela telemetria de rede e de aplicação do serviço exposto. Em logs HTTP, procure requisições que criem aplicações ou submetam tarefas com parâmetros anômalos, especialmente quando o conteúdo da aplicação embute ações de download, alteração de permissões, execução de binário e limpeza de arquivo. Em ambientes Hadoop, eventos de criação de aplicações fora de janelas esperadas, nomes incomuns, usuários de serviço inesperados e execução originada de endereços externos devem ser tratados como sinais de investigação. A ausência do arquivo final no disco não elimina o comprometimento, porque o fluxo observado remove o artefato após a execução.
No endpoint, a telemetria mais útil envolve árvore de processos, escrita de arquivos executáveis, alterações de permissão e conexões de saída geradas por processos que normalmente não deveriam buscar binários externos. Um processo associado ao serviço Hadoop iniciando download de um ELF, executando esse artefato e depois apagando o arquivo é um encadeamento de alto valor para detecção. Como a variante adiciona proxy SOCKS, também é importante procurar processos recém-criados ouvindo portas locais ou estabelecendo conexões volumosas e heterogêneas para múltiplos destinos, especialmente quando o host não tem função de proxy ou gateway.
Na rede, a investigação deve correlacionar conexões para pan.tenire[.]com com DNS, proxy corporativo, EDR e registros de firewall. O indicador deve ser tratado como exemplo defangado e não como lista completa de infraestrutura. O melhor resultado defensivo vem de combinar indicadores pontuais com comportamento: requisições de implantação anômalas, download de binário Linux, execução por processo de serviço, remoção rápida de artefato e tráfego compatível com encaminhamento. Essa combinação reduz dependência de um único domínio, que pode mudar rapidamente em operações de botnet.
- Requisições
HTTPque criam aplicações ou tarefas emHadoopcom ações embutidas de download e execução. - Processos de serviço iniciando binários
ELFrecém-gravados em diretórios temporários ou de trabalho. - Alterações de permissão amplas seguidas por execução e exclusão do mesmo arquivo.
- Consultas DNS ou conexões para
pan.tenire[.]come destinos relacionados em janelas próximas à criação de aplicações. - Tráfego de saída com padrão de proxy
SOCKSem hosts que não têm função legítima de encaminhamento.
A contenção imediata deve isolar instâncias Hadoop expostas, preservar evidências voláteis e interromper tráfego de saída suspeito antes de desligar hosts sem coleta mínima. Como o binário pode ser removido após a execução, memória, árvore de processos, conexões ativas, histórico de DNS, logs do serviço e artefatos temporários são mais importantes do que uma busca simples por arquivo em disco. Hosts com sinais de proxy ou execução do agente devem ser retirados de balanceadores, segmentados em rede de quarentena e avaliados quanto a tarefas criadas, usuários envolvidos e conexões externas estabelecidas durante a janela do evento.
A correção estrutural envolve remover a exposição direta de serviços de computação e dados, aplicar autenticação forte, limitar origens autorizadas e bloquear execução de tarefas administrativas a partir de redes não confiáveis. Regras de saída devem impedir que processos de serviço baixem binários de destinos arbitrários, e controles de aplicação devem restringir execução de arquivos recém-baixados. Em nuvem, revise grupos de segurança, listas de controle de acesso, políticas de identidade e permissões de contas de serviço associadas ao nó. O objetivo é impedir que uma falha de configuração em uma interface administrativa se converta automaticamente em execução de malware.
Depois da contenção, valide se houve apenas execução do agente ou se outras capacidades do Chaos foram acionadas, como mineração, DDoS, carregamento de módulos adicionais ou uso do host como proxy. O contexto técnico não confirma exfiltração de dados nem movimentação lateral para este caso, então a investigação deve procurar evidências antes de ampliar conclusões. A rotação de credenciais deve ser priorizada quando houver indício de acesso a segredos locais, variáveis de ambiente, metadados de nuvem ou chaves de serviço, mas não deve substituir a revisão da exposição inicial. A medida mais efetiva é impedir que o serviço aceite criação remota de aplicações por origens não autorizadas.
- Remover acesso público a interfaces
Hadoope restringir administração a redes autorizadas. - Revisar logs de criação de aplicações, execução de tarefas e usuários de serviço durante a janela suspeita.
- Bloquear downloads e execução de binários externos por processos de serviço sem justificativa operacional.
- Procurar sinais de proxy
SOCKS, mineração e tráfego DDoS antes de retornar o host à produção. - Reforçar segmentação, autenticação, políticas de saída e monitoramento de processos em cargas de trabalho de nuvem.
0 Comentários