Pysa勒索软件团伙利用ChaChi后门瞄准Linux系统

据云安全公司Lacework Lab的一份报告显示,Pysa勒索软件团伙利用ChaChi后门软件的Windows特点,创建了一个Linux版本的恶意软件,目标是使用ChaChi后门的Linux主机。

据认为,ChaChi的第一个Linux版本是基于Golang的DNS隧道后门,在VirusTotal报告中被发现,它被配置为使用与称为PYSA(又名 Menipoza Ransomware Gang)的勒索软件参与者相关的域。

研究人员指出:“PYSA的ChaChi基础设施似乎在过去几周基本上处于休眠状态,大部分都处于停顿状态,显然不再运行。这个样本很可能代表PYSA参与者扩展到目标Linux主机与ChaChi后门”

在8月份,Lacework实验室的研究人员首次观察到了ChaChi的Linux变体,这是一种基于golang的开源RAT的定制变体,利用DNS隧道进行命令和控制通信。

根据研究人员说法,许多参与者瞄准多个架构以增加其足迹,因此这可能是这里的动机,并且可能代表 PYSA业务的发展。目前还不清楚是否在操作中使用了Linux变体,但在相关基础设施离线之前就观察到了。然而,观察到的调试输出可能表明样品仍处于测试阶段。

联邦调查局警报

根据Palo Alto Networks 的 Unit 42 威胁情报小组的一份报告,PYSA 团伙以制造商、学校等为目标,主要在美国和英国,要求支付高达160万美元的赎金。

在 3 月份的警报中,FBI强调了针对美国和英国教育机构的PYSA勒索软件攻击激增。当时联邦调查局称,身份不明的网络行为者专门针对高等教育、K-12 学校和神学院。FBI并补充:使用 PYSA 的攻击者往往遵循进入网络、删除数据、加密系统,然后威胁如果不支付赎金就将被盗数据公开的模式。

技术细节

尽管该标本最近才被观察到,但但研究人员表示它于2021年6月14日上传到 VirusTotal,当时只有 1/61的检测结果。在8月下旬发布新变种后,这一数字有所增加,截至9月10日,检测率为20/61。

据报道,新的 Linux 变体与其 Windows 版本具有相同的特征,尤其是其核心功能、大文件大小 (8MB +) 和 Golang 混淆器 Gobfuscate 的使用。

Linux版本的一个显著特征是包含日期时间数据的调试输出。ChaChi还利用了自定义的名称服务器,它可以充当C2来支持DNS隧道协议,”研究人员说,并补充说,C2主机可以通过对名称服务器域的被动DNS分析来识别。

分析表明,自2021年6月以来,大多数ChaChi基础设施已停止或离线。这两个例外似乎是域ns1.ccenter.tech和ns2.spm.best。来自 Linux 变体的两个域(标识为 sbvjhs.xyz 和 sbvjhs.club)解析为亚马逊IP地址99.83.154.118,这是一个AWS全球加速器主机,并在VirusTotal上检测到多个AV。

研究人员指出:“通过分析表明,Namecheap 最有可能将其用于域名停放目的,不会用作ChaChi IOC。”

关于PYSA勒索软件

Pysa自2019年10月以来一直活跃,并与国际上的几次早期攻击有关。

2021年1月,Pysa的黑客们公布了从英国当地政府机构哈克尼委员会(Hackney Council)窃取的数据,该机构在2020年10月入侵了其网络,导致其IT系统无法运行。

2020年3月,法国计算机紧急响应小组表示,Pysa针对法国地方政府进行勒索软件攻击。

Digital Shadows上个月的一份报告发现,Pysa是采用黑客和泄露模式的最新勒索软件之一。伴随恶意软件的升级,犯罪团伙通过窃取数据或加密等方式不断打击国家关键基础设施,从而造成除经济之外的重大影响,严重影响社会生活运转。而作为网络最基础的部分之一——软件安全,在确保网络安全上起到重要作用。

不难发现,恶意软件大多数通过软件系统的安全漏洞实施入侵,从而进行横向移动或发生软件供应链攻击,因此在开发期间通过静态代码检测等工具查找并修正安全漏洞,可以有效提高软件安全性,在一定程度上阻止大部分犯罪分子的攻击,为网络安全增加保障。

参读链接:

www.inforisktoday.com/pysa-ransom…

评论