< p class = "meta"> Af Charlie Osborne til Zero Day | 23. juni 2021 – 13:00 GMT (14:00 BST) | Emne: Sikkerhed
En ny trojan skrevet på Go-programmeringssproget har drejet sig fra angreb mod regeringsorganer til amerikanske skoler.
Forskergruppen fra BlackBerry Threat Research and Intelligence sagde onsdag, malware, kaldet ChaChi, bruges også som en nøglekomponent i lanceringen af ransomware-angreb.
ChaChi er skrevet i GoLang (Go), et programmeringssprog, der nu er ved at blive bredt adopteret af trusselaktører i et skift væk fra C og C ++ på grund af dets alsidighed og lethed ved at kompilere på tværs af platformskoder.
Ifølge Intezer har der været nogenlunde en stigning på 2.000% i Go-baserede malware-prøver de sidste par år.
“Da dette er sådan et nyt fænomen, er mange kerneværktøjer til analyseprocessen stadig ved at indhente,” bemærkede BlackBerry. “Dette kan gøre Go til et mere udfordrende sprog at analysere.”
ChaChi blev set i første halvdel af 2020, og den oprindelige variant af Remote Access Trojan (RAT) er blevet knyttet til cyberangreb mod franske lokale myndigheders myndigheder, opført af CERT France i en rapport om indikatorer for kompromis (IoC) (.PDF) ; men nu er der kommet en langt mere sofistikeret variant.
De seneste tilgængelige prøver har været forbundet med angreb mod store amerikanske skoler og uddannelsesorganisationer.
Sammenlignet med den første variant af ChaChi, som havde dårlig tiltrækning og lavt niveau, er malware nu i stand til at udføre typiske RAT-aktiviteter, herunder oprettelse af bagdør og dataefiltrering, samt legitimationsdumping via Windows Local Security Authority Subsystem Service (LSASS), netværksoptælling, DNS-tunneling, SOCKS-proxyfunktionalitet, oprettelse af tjenester og lateral bevægelse på tværs af netværk.
Malwaren gør også brug af et offentligt tilgængeligt GoLang-værktøj, gobfuscate, til obfuscation.
ChaChi er navngivet som sådan på grund af Chashell og Chisel, to hyldeværktøjer, der bruges af malware under angreb og modificeret til disse formål. Chashell er en omvendt shell over DNS-udbyder, mens Chisel er et port-forwarding-system.
BlackBerry-forskere mener, at Trojan er PYSA/Mespinozas arbejde, en trusselgruppe, der har eksisteret siden 2018. Denne gruppe er kendt for at lancere ransomware-kampagner og bruge udvidelsen. PYSA når offerfilerne er blevet krypteret, står for “Beskyt dit system Amigo.”
FBI har tidligere advaret om en stigning i PYSA-angreb på både britiske og amerikanske skoler.
Generelt siger holdet, at PYSA fokuserer på “storvildjagt” – at vælge lukrative mål med store tegnebøger, der er i stand til at betale store beløb, når der kræves en løsesum. Disse angreb er målrettet og styres ofte af en menneskelig operatør snarere end en opgave med automatiserede værktøjer.
“Dette er en bemærkelsesværdig ændring i drift fra tidligere bemærkelsesværdige ransomwarekampagner som NotPetya eller WannaCry,” siger forskerne. “Disse aktører bruger avanceret viden om virksomhedsnetværk og sikkerhedskonfigurationer for at opnå lateral bevægelse og få adgang til ofrets miljøer.”
Tidligere og relateret dækning
Kritisk zoom-sårbarhed udløser ekstern kørsel af kode uden brugerinput.
Den gennemsnitlige tid til at rette kritiske cybersikkerhedssårbarheder er 205 dage: rapport.
Denne underlige hukommelseschip sårbarhed er endnu værre, end vi indså.
Har du et tip? Kontakt sikkert via WhatsApp | Signal ved +447713 025 499 eller over på Keybase: charlie0
Relaterede emner:
Sikkerhed TV-datastyring CXO-datacentre 