来自黑莓威胁研究和情报团队的安全专家发现了 ChaChi 远程访问木马 (RAT)。该木马专门针对Windows系统，由PYSA勒索软件的黑客开发，攻击全球目标。最近几个月，它的目标是教育机构。自 2020 年夏季以来，黑客一直在使用 ChaChi 攻击全球目标，他们使用德国和罗马尼亚的 IP 地址进行操作。

　　ChaChi 是一种专门开发的木马，用相当新的编程语言“Go”(也称为“Golang”)编写。这使得分析恶意软件变得困难，因为许多用于分析过程的核心工具仍在开发中。ChaChi 这个名字来自 RAT 的两个关键组件，Chashell 和 Chisel。这些是恶意软件操作员用来执行其预期操作的工具，而不是创建自定义工具来实现此功能。

　　PYSA 的第一个版本自 2018 年底开始流传。此威胁的名称来自早期变体用于重命名加密文件的文件扩展名 (.PYSA) 以及警告受害者“保护您的系统，朋友。”

　　黑莓专家进行了大量调查，并对包括 ChaChi 在内的 PYSA 勒索软件事件做出了回应。PYSA 活动的主要发现包括：

　　o 防御暂停：PowerShell 脚本卸载/停止/禁用防病毒软件和防火墙。

　　o 凭证访问：从不使用 Mimikatz (comsvcs.dll) 的 LSASS 转储凭证。

　　o 检测：使用高级端口扫描器进行内部网络枚举。

　　o 持久性：ChaChi 作为服务安装。

　　o 横向运动：RDP 和 PsExec。

　　o 渗出：可能通过 ChaChi 隧道(尚未观察到)。

　　o 命令与控制(C2)：ChaChi RAT。