< p class="meta"> Door Charlie Osborne voor Zero Day | 23 juni 2021 — 13:00 GMT (14:00 BST) | Onderwerp: Beveiliging
Een nieuw Trojaans paard, geschreven in de programmeertaal Go, is van aanvallen op overheidsinstanties naar Amerikaanse scholen gegaan.
Het onderzoeksteam van BlackBerry Threat Research and Intelligence zei woensdag dat de malware, genaamd ChaChi, wordt ook gebruikt als een belangrijk onderdeel bij het lanceren van ransomware-aanvallen.
ChaChi is geschreven in GoLang (Go), een programmeertaal die nu op grote schaal wordt gebruikt door bedreigingsactoren in een verschuiving van C en C++ vanwege de veelzijdigheid en het gemak van cross-platform codecompilatie.
Volgens Intezer is er de afgelopen jaren een toename van ongeveer 2.000% in Go-gebaseerde malware-samples.
“Omdat dit zo'n nieuw fenomeen is, zijn veel kernhulpmiddelen voor het analyseproces nog bezig hun achterstand in te halen”, merkte BlackBerry op. “Dit kan van Go een moeilijkere taal maken om te analyseren.”
ChaChi werd in de eerste helft van 2020 gespot en de originele variant van de Remote Access Trojan (RAT) is in verband gebracht met cyberaanvallen tegen Franse lokale overheidsinstanties, vermeld door CERT Frankrijk in een Indicators of Compromise (IoC)-rapport (.PDF) ; maar nu is er een veel geavanceerdere variant verschenen.
De nieuwste beschikbare voorbeelden zijn in verband gebracht met aanvallen op grote Amerikaanse scholen en onderwijsorganisaties.
In vergelijking met de eerste variant van ChaChi, die slechte verduistering en low-level mogelijkheden had, is de malware nu in staat om typische RAT-activiteiten uit te voeren, waaronder het maken van een achterdeur en gegevensexfiltratie, evenals het dumpen van inloggegevens via de Windows Local Security Authority Subsystem Service (LSASS), netwerkopsomming, DNS-tunneling, SOCKS-proxyfunctionaliteit, servicecreatie en laterale verplaatsing over netwerken.
De malware maakt ook gebruik van een openbaar toegankelijke GoLang-tool, gobfuscate, voor verduisteringsdoeleinden.
ChaChi is zo genoemd vanwege Chashell en Chisel, twee kant-en-klare tools die door de malware worden gebruikt tijdens aanvallen en voor deze doeleinden zijn aangepast. Chashell is een reverse shell over DNS-provider, terwijl Chisel een port-forwarding-systeem is.
Onderzoekers van BlackBerry denken dat de trojan het werk is van PYSA/Mespinoza, een dreigingsgroep die al sinds 2018 bestaat. Deze groep staat bekend om het lanceren van ransomware-campagnes en het gebruik van de extensie. PYSA wanneer slachtofferbestanden zijn versleuteld, wat staat voor “Protect Your System Amigo.”
De FBI heeft eerder gewaarschuwd voor een toename van PYSA-aanvallen op zowel Britse als Amerikaanse scholen.
Over het algemeen zegt het team dat PYSA zich richt op “jacht op groot wild” – het kiezen van lucratieve doelen met grote portefeuilles die enorme bedragen kunnen betalen wanneer losgeld wordt geëist. Deze aanvallen zijn gericht en worden vaak gecontroleerd door een menselijke operator in plaats van een taak van geautomatiseerde tools.
“Dit is een opmerkelijke verandering in de werking van eerdere opmerkelijke ransomware-campagnes zoals NotPetya of WannaCry”, zeggen de onderzoekers. “Deze actoren maken gebruik van geavanceerde kennis van bedrijfsnetwerken en misconfiguraties van beveiliging om zijwaartse bewegingen te realiseren en toegang te krijgen tot de omgevingen van het slachtoffer.”
Eerdere en gerelateerde berichtgeving
Kritieke Zoom-kwetsbaarheid veroorzaakt uitvoering van externe code zonder invoer van de gebruiker.
De gemiddelde tijd om kritieke cyberbeveiligingskwetsbaarheden te verhelpen is 205 dagen: rapport.
Deze vreemde geheugenchip kwetsbaarheid is nog erger dan we ons realiseerden.
Heeft u een tip? Veilig contact opnemen via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 