< p class = "meta"> Av Charlie Osborne för Zero Day | 23 juni 2021 – 13:00 GMT (14:00 BST) | Ämne: Säkerhet
En ny trojan skriven på Go-programmeringsspråket har svängt från attacker mot myndigheter till amerikanska skolor.
Forskargruppen från BlackBerry Threat Research and Intelligence sa på onsdagen att skadlig programvara, kallad ChaChi, används också som en nyckelkomponent för att starta ransomware-attacker.
ChaChi är skrivet i GoLang (Go), ett programmeringsspråk som nu antas i stor utsträckning av hotaktörer i ett skift från C och C ++ på grund av dess mångsidighet och lätthet att kompilera plattformskod.
Enligt Intezer har det ökat ungefär 2 000% i Go-baserade malware-prover de senaste åren.
“Eftersom detta är ett sådant nytt fenomen, håller många kärnverktyg i analysprocessen fortfarande på,” noterade BlackBerry. “Detta kan göra Go till ett mer utmanande språk att analysera.”
ChaChi sågs under första hälften av 2020, och den ursprungliga varianten av Remote Access Trojan (RAT) har kopplats till cyberattacker mot franska kommunala myndigheter, listade av CERT France i en rapport om indikatorer för kompromiss (IoC) (.PDF) ; men nu har en mycket mer sofistikerad variant dykt upp.
De senaste tillgängliga exemplen har kopplats till attacker mot stora amerikanska skolor och utbildningsorganisationer.
Jämfört med den första varianten av ChaChi, som hade dålig förvirring och lågnivåfunktioner, kan skadlig programvara nu utföra typiska RAT-aktiviteter, inklusive skapande av bakdörr och exfiltrering av data, samt legitimationsdumpning via Windows Local Security Authority Subsystem Service (LSASS), nätverksuppräkning, DNS-tunnling, SOCKS-proxyfunktionalitet, skapande av tjänster och sidorörelse över nätverk.
Skadlig kod använder också ett offentligt tillgängligt GoLang-verktyg, gobfuscate, för fördunkning.
ChaChi heter som sådan på grund av Chashell och Chisel, två hyllaverktyg som används av skadlig programvara under attacker och modifierade för dessa ändamål. Chashell är ett omvänd skal över DNS-leverantör, medan Chisel är ett system för vidarebefordran av port.
BlackBerry-forskare tror att Trojan är PYSA/Mespinozas arbete, en hotgrupp som har funnits sedan 2018. Denna grupp är känd för att lansera ransomwarekampanjer och använda tillägget. PYSA när offretsfiler har krypterats, står för “Skydda ditt system Amigo.”
FBI har tidigare varnat för en ökning av PYSA-attacker mot både brittiska och amerikanska skolor.
Generellt säger teamet att PYSA fokuserar på “storviltjakt” – att välja lukrativa mål med stora plånböcker som kan betala stora belopp när en lösen krävs. Dessa attacker är riktade och kontrolleras ofta av en mänsklig operatör snarare än av automatiska verktyg.
“Detta är en anmärkningsvärd förändring i drift från tidigare anmärkningsvärda ransomwarekampanjer som NotPetya eller WannaCry”, säger forskarna. “Dessa aktörer använder avancerad kunskap om företagsnätverk och säkerhetskonfigurationer för att uppnå sidorörelse och få tillgång till offrets miljöer.”
Tidigare och relaterad täckning
Kritisk zoom-sårbarhet utlöser fjärrkörning av kod utan användarinmatning.
Den genomsnittliga tiden för att åtgärda kritiska cybersäkerhetssårbarheter är 205 dagar: rapport.
Detta konstiga minneschip sårbarheten är ännu värre än vi insåg.
Har du ett tips? Kontakta säkert via WhatsApp | Signal vid +447713 025 499, eller över på Keybase: charlie0
Relaterade ämnen:
Säkerhet TV Data Management CXO Data Centers 