时间:2021-06-25 来源:系统堂 游览量: 次
来自黑莓威胁研究和情报团队的安全专家发现了 ChaChi 远程访问木马 (RAT)。该木马专门针对Windows系统,由PYSA勒索软件的黑客开发,攻击全球目标。最近几个月,它的目标是教育机构。自 2020 年夏季以来,黑客一直在使用 ChaChi 攻击全球目标,他们使用德国和罗马尼亚的 IP 地址进行操作。
ChaChi 是一种专门开发的木马,用相当新的编程语言“Go”(也称为“Golang”)编写。这使得分析恶意软件变得困难,因为许多用于分析过程的核心工具仍在开发中。ChaChi 这个名字来自 RAT 的两个关键组件,Chashell 和 Chisel。这些是恶意软件操作员用来执行其预期操作的工具,而不是创建自定义工具来实现此功能。
PYSA 的第一个版本自 2018 年底开始流传。此威胁的名称来自早期变体用于重命名加密文件的文件扩展名 (.PYSA) 以及警告受害者“保护您的系统,朋友。”
黑莓专家进行了大量调查,并对包括 ChaChi 在内的 PYSA 勒索软件事件做出了回应。PYSA 活动的主要发现包括:
o 防御暂停:PowerShell 脚本卸载/停止/禁用防病毒软件和防火墙。
o 凭证访问:从不使用 Mimikatz (comsvcs.dll) 的 LSASS 转储凭证。
o 检测:使用高级端口扫描器进行内部网络枚举。
o 持久性:ChaChi 作为服务安装。
o 横向运动:RDP 和 PsExec。
o 渗出:可能通过 ChaChi 隧道(尚未观察到)。
o 命令与控制(C2):ChaChi RAT。