< p class = "meta"> Av Charlie Osborne for Zero Day | 23. juni 2021 – 13:00 GMT (14:00 BST) | Tema: Sikkerhet
En ny trojan skrevet på Go-programmeringsspråket har svingt fra angrep mot myndighetsorganer til amerikanske skoler.
Forskergruppen fra BlackBerry Threat Research and Intelligence sa onsdag at malware, kalt ChaChi, blir også brukt som en nøkkelkomponent i lanseringen av ransomware-angrep.
ChaChi er skrevet i GoLang (Go), et programmeringsspråk som nå blir adoptert av trusselaktører i et skifte bort fra C og C ++ på grunn av allsidigheten og den enkle kodekompilering på tvers av plattformer.
I følge Intezer har det gått omtrent 2000% økning i Go-baserte malware-prøver de siste årene.
“Ettersom dette er et så nytt fenomen, er mange kjerneverktøy i analyseprosessen fortsatt i ferd med å ta igjen,” bemerket BlackBerry. “Dette kan gjøre Go til et mer utfordrende språk å analysere.”
ChaChi ble oppdaget i første halvdel av 2020, og den opprinnelige varianten av Remote Access Trojan (RAT) har blitt knyttet til nettangrep mot franske lokale myndigheter, oppført av CERT France i en indikator for kompromissrapport (IoC) -rapport (.PDF) ; men nå har en langt mer sofistikert variant dukket opp.
De nyeste tilgjengelige prøvene har vært knyttet til angrep mot store amerikanske skoler og utdanningsorganisasjoner.
Sammenlignet med den første varianten av ChaChi, som hadde dårlig tilsløring og lavt nivå, er malware nå i stand til å utføre typiske RAT-aktiviteter, inkludert oppretting av bakdør og dataeksfiltrering, samt påloggingsdumping via Windows Local Security Authority Subsystem Service (LSASS), nettverksoppregning, DNS-tunneling, SOCKS proxy-funksjonalitet, tjenestelagring og lateral bevegelse på tvers av nettverk.
Den skadelige programvaren bruker også et offentlig tilgjengelig GoLang-verktøy, gobfuscate, for obfuscation.
ChaChi er navngitt som sådan på grunn av Chashell og Chisel, to hylleverktøy som brukes av skadelig programvare under angrep og modifiseres for disse formålene. Chashell er et omvendt skall over DNS-leverandør, mens Chisel er et port-forwarding-system.
BlackBerry-forskere mener at trojaneren er arbeidet til PYSA/Mespinoza, en trusselgruppe som har eksistert siden 2018. Denne gruppen er kjent for å lansere ransomwarekampanjer og bruke utvidelsen. PYSA når offerfilene har blitt kryptert, står for “Protect Your System Amigo.”
FBI har tidligere varslet en økning i PYSA-angrep mot både britiske og amerikanske skoler.
Generelt sier teamet at PYSA fokuserer på “storviltjakt” – å plukke inn lukrative mål med store lommebøker som kan betale store beløp når det kreves løsepenger. Disse angrepene er målrettet og blir ofte kontrollert av en menneskelig operatør i stedet for en oppgave med automatiserte verktøy.
“Dette er en bemerkelsesverdig endring i drift fra tidligere bemerkelsesverdige ransomware-kampanjer som NotPetya eller WannaCry,” sier forskerne. “Disse aktørene bruker avansert kunnskap om bedriftsnettverk og feilkonfigurasjoner for sikkerhet for å oppnå lateral bevegelse og få tilgang til offerets miljøer.”
Tidligere og relatert dekning
Kritisk zoom-sårbarhet utløser ekstern kjøring av kode uten brukerinngang.
Gjennomsnittlig tid for å fikse kritiske sikkerhetsproblemer er 205 dager: rapport.
Denne rare minnebrikken sårbarhet er enda verre enn vi skjønte.
Har du et tips? Ta kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Beslektede emner:
Security TV Data Management CXO Data Centers 