< p class="meta"> Von Charlie Osborne für Zero Day | 23. Juni 2021 — 13:00 GMT (14:00 BST) | Thema: Sicherheit
Ein neuer Trojaner, der in der Programmiersprache Go geschrieben wurde, hat sich von Angriffen gegen Regierungsbehörden auf US-Schulen ausgebreitet.
Das Forschungsteam von BlackBerry Threat Research and Intelligence sagte am Mittwoch, dass Die Malware namens ChaChi wird auch als Schlüsselkomponente für Ransomware-Angriffe verwendet.
ChaChi ist in GoLang (Go) geschrieben, einer Programmiersprache, die aufgrund ihrer Vielseitigkeit und der Einfachheit der plattformübergreifenden Codekompilierung jetzt weithin von Bedrohungsakteuren in Abkehr von C und C++ übernommen wird.
Laut Intezer gab es in den letzten Jahren einen Anstieg der Go-basierten Malware-Samples um etwa 2.000 %.
“Da dies ein so neues Phänomen ist, holen viele Kerntools des Analyseprozesses immer noch auf”, bemerkte BlackBerry. “Dies kann Go zu einer schwieriger zu analysierenden Sprache machen.”
ChaChi wurde in der ersten Hälfte des Jahres 2020 gesichtet, und die ursprüngliche Variante des Remote Access Trojan (RAT) wurde mit Cyberangriffen gegen französische Kommunalbehörden in Verbindung gebracht, die von CERT France in einem Indicators of Compromise (IoC)-Bericht (.PDF) aufgeführt sind. ; aber jetzt ist eine weitaus raffiniertere Variante erschienen.
Die neuesten verfügbaren Beispiele wurden mit Angriffen auf große US-Schulen und Bildungseinrichtungen in Verbindung gebracht.
Im Vergleich zur ersten Variante von ChaChi, die eine schlechte Verschleierung und Low-Level-Fähigkeiten aufwies, ist die Malware nun in der Lage, typische RAT-Aktivitäten durchzuführen, einschließlich Backdoor-Erstellung und Datenexfiltration sowie das Dumping von Anmeldeinformationen über den Windows Local Security Authority Subsystem Service (LSASS), Netzwerkaufzählung, DNS-Tunneling, SOCKS-Proxy-Funktionalität, Diensterstellung und Querbewegung über Netzwerke hinweg.
Die Malware verwendet zu Verschleierungszwecken auch ein öffentlich zugängliches GoLang-Tool, gobfuscate.
ChaChi ist nach Chashell und Chisel benannt, zwei Standard-Tools, die von der Malware bei Angriffen verwendet und für diese Zwecke modifiziert wurden. Chashell ist ein Reverse-Shell-over-DNS-Anbieter, während Chisel ein Port-Weiterleitungssystem ist.
BlackBerry-Forscher glauben, dass der Trojaner das Werk von PYSA/Mespinoza ist, einer Bedrohungsgruppe, die es seit 2018 gibt. Diese Gruppe ist dafür bekannt, Ransomware-Kampagnen zu starten und die Erweiterung zu verwenden. PYSA, wenn Opferdateien verschlüsselt wurden, was für “Protect Your System Amigo” steht.
Das FBI hat zuvor vor einer Zunahme von PYSA-Angriffen auf britische und US-amerikanische Schulen gewarnt.
Im Allgemeinen sagt das Team, dass sich PYSA auf die “Großwildjagd” konzentriert – lukrative Ziele mit großen Geldbörsen auswählen, die in der Lage sind, riesige Beträge zu zahlen, wenn ein Lösegeld verlangt wird. Diese Angriffe sind gezielt und werden oft von einem menschlichen Bediener gesteuert und nicht von automatisierten Tools.
„Dies ist eine bemerkenswerte Änderung im Betrieb gegenüber früheren bemerkenswerten Ransomware-Kampagnen wie NotPetya oder WannaCry“, sagen die Forscher. “Diese Akteure nutzen fortgeschrittene Kenntnisse über Unternehmensnetzwerke und Sicherheitsfehlkonfigurationen, um seitliche Bewegungen zu erreichen und Zugang zu den Umgebungen des Opfers zu erhalten.”
Frühere und verwandte Berichterstattung
Kritische Zoom-Schwachstelle löst Remotecodeausführung ohne Benutzereingaben aus.
Die durchschnittliche Zeit zum Beheben kritischer Cybersicherheitsschwachstellen beträgt 205 Tage: melden.
Dieser seltsame Speicherchip Die Sicherheitslücke ist noch schlimmer, als wir dachten.
Haben Sie einen Tipp? Kontaktieren Sie uns sicher über WhatsApp | Signal unter +447713 025 499 oder drüben bei Keybase: charlie0
Verwandte Themen:
Sicherheit TV-Datenverwaltung CXO-Rechenzentren 