< p class="meta"> Di Charlie Osborne per Zero Day | 23 giugno 2021 — 13:00 GMT (14:00 BST) | Argomento: sicurezza
Un nuovo Trojan scritto nel linguaggio di programmazione Go è passato dagli attacchi contro le agenzie governative alle scuole statunitensi.
Il team di ricerca di BlackBerry Threat Research and Intelligence ha dichiarato mercoledì che il malware, soprannominato ChaChi, viene utilizzato anche come componente chiave nel lancio di attacchi ransomware.
ChaChi è scritto in GoLang (Go), un linguaggio di programmazione che viene ora ampiamente adottato dagli attori delle minacce in un allontanamento da C e C++ grazie alla sua versatilità e alla facilità di compilazione del codice multipiattaforma.
Secondo Intezer, negli ultimi anni c'è stato un aumento di circa il 2.000% dei campioni di malware basati su Go.
“Poiché si tratta di un fenomeno così nuovo, molti strumenti fondamentali per il processo di analisi stanno ancora recuperando terreno”, ha osservato BlackBerry. “Questo può rendere Go un linguaggio più difficile da analizzare.”
ChaChi è stato individuato nella prima metà del 2020 e la variante originale del Remote Access Trojan (RAT) è stata collegata ad attacchi informatici contro le autorità locali francesi, elencati da CERT France in un rapporto Indicators of Compromise (IoC) (.PDF) ; ma ora è apparsa una variante molto più sofisticata.
Gli ultimi campioni disponibili sono stati collegati ad attacchi lanciati contro grandi scuole e organizzazioni educative statunitensi.
Rispetto alla prima variante di ChaChi, che aveva scarso offuscamento e capacità di basso livello, il malware è ora in grado di eseguire le tipiche attività RAT, tra cui la creazione di backdoor e l'esfiltrazione dei dati, nonché il dump delle credenziali tramite il servizio di sottosistema dell'autorità di sicurezza locale di Windows (LSASS), enumerazione di rete, tunneling DNS, funzionalità proxy SOCKS, creazione di servizi e spostamento laterale tra le reti.
Il malware utilizza anche uno strumento GoLang accessibile pubblicamente, gobfuscate, per scopi di offuscamento.
ChaChi è chiamato così a causa di Chashell e Chisel, due strumenti standard utilizzati dal malware durante gli attacchi e modificati per questi scopi. Chashell è una shell inversa su provider DNS, mentre Chisel è un sistema di port forwarding.
I ricercatori di BlackBerry ritengono che il Trojan sia opera di PYSA/Mespinoza, un gruppo di minacce attivo dal 2018. Questo gruppo è noto per aver lanciato campagne di ransomware e utilizzato l'estensione. PYSA quando i file delle vittime sono stati crittografati, acronimo di “Proteggi il tuo sistema Amigo”.
L'FBI ha precedentemente avvertito di un aumento degli attacchi del PYSA contro le scuole del Regno Unito e degli Stati Uniti.
In generale, il team afferma che PYSA si concentra sulla “caccia alla grossa selvaggina” – raccogliendo obiettivi redditizi con grandi portafogli in grado di pagare grandi quantità quando viene richiesto un riscatto. Questi attacchi sono mirati e sono spesso controllati da un operatore umano piuttosto che da un compito di strumenti automatizzati.
“Si tratta di un notevole cambiamento operativo rispetto alle precedenti campagne di ransomware come NotPetya o WannaCry”, affermano i ricercatori. “Questi attori stanno utilizzando la conoscenza avanzata delle reti aziendali e delle configurazioni errate della sicurezza per ottenere il movimento laterale e ottenere l'accesso agli ambienti della vittima”.
Copertura precedente e correlata
La vulnerabilità Critical Zoom attiva l'esecuzione di codice remoto senza l'input dell'utente.
Il tempo medio per correggere le vulnerabilità critiche della sicurezza informatica è di 205 giorni: rapporto.
Questo strano chip di memoria la vulnerabilità è persino peggiore di quanto pensassimo.
Hai un consiglio? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnale al +447713 025 499 o tramite Keybase: charlie0
Argomenti correlati:
Security TV Data Management CXO Data Center 