Pysa勒索軟件團伙利用ChaChi后門瞄準(zhǔn)Linux系統(tǒng)

據(jù)云安全公司Lacework Lab的一份報告顯示，Pysa勒索軟件團伙利用ChaChi后門軟件的Windows特點，創(chuàng)建了一個Linux版本的惡意軟件，目標(biāo)是使用ChaChi后門的Linux主機。

據(jù)認為，ChaChi的第一個Linux版本是基于Golang的DNS隧道后門，在VirusTotal報告中被發(fā)現(xiàn)，它被配置為使用與稱為PYSA(又名 Menipoza Ransomware Gang)的勒索軟件參與者相關(guān)的域。

研究人員指出：“PYSA的ChaChi基礎(chǔ)設(shè)施似乎在過去幾周基本上處于休眠狀態(tài)，大部分都處于停頓狀態(tài)，顯然不再運行。這個樣本很可能代表PYSA參與者擴展到目標(biāo)Linux主機與ChaChi后門”

在8月份，Lacework實驗室的研究人員首次觀察到了ChaChi的Linux變體，這是一種基于golang的開源RAT的定制變體，利用DNS隧道進行命令和控制通信。

根據(jù)研究人員說法，許多參與者瞄準(zhǔn)多個架構(gòu)以增加其足跡，因此這可能是這里的動機，并且可能代表 PYSA業(yè)務(wù)的發(fā)展。目前還不清楚是否在操作中使用了Linux變體，但在相關(guān)基礎(chǔ)設(shè)施離線之前就觀察到了。然而，觀察到的調(diào)試輸出可能表明樣品仍處于測試階段。

聯(lián)邦調(diào)查局警報

根據(jù)Palo Alto Networks 的 Unit 42 威脅情報小組的一份報告，PYSA 團伙以制造商、學(xué)校等為目標(biāo)，主要在美國和英國，要求支付高達160萬美元的贖金。

在 3 月份的警報中，F(xiàn)BI強調(diào)了針對美國和英國教育機構(gòu)的PYSA勒索軟件攻擊激增。當(dāng)時聯(lián)邦調(diào)查局稱，身份不明的網(wǎng)絡(luò)行為者專門針對高等教育、K-12 學(xué)校和神學(xué)院。FBI并補充：使用 PYSA 的攻擊者往往遵循進入網(wǎng)絡(luò)、刪除數(shù)據(jù)、加密系統(tǒng)，然后威脅如果不支付贖金就將被盜數(shù)據(jù)公開的模式。

技術(shù)細節(jié)

盡管該標(biāo)本最近才被觀察到，但但研究人員表示它于2021年6月14日上傳到 VirusTotal，當(dāng)時只有 1/61的檢測結(jié)果。在8月下旬發(fā)布新變種后，這一數(shù)字有所增加，截至9月10日，檢測率為20/61。

據(jù)報道，新的 Linux 變體與其 Windows 版本具有相同的特征，尤其是其核心功能、大文件大小 (8MB +) 和 Golang 混淆器 Gobfuscate 的使用。

Linux版本的一個顯著特征是包含日期時間數(shù)據(jù)的調(diào)試輸出。ChaChi還利用了自定義的名稱服務(wù)器，它可以充當(dāng)C2來支持DNS隧道協(xié)議，”研究人員說，并補充說，C2主機可以通過對名稱服務(wù)器域的被動DNS分析來識別。

分析表明，自2021年6月以來，大多數(shù)ChaChi基礎(chǔ)設(shè)施已停止或離線。這兩個例外似乎是域ns1.ccenter.tech和ns2.spm.best。來自 Linux 變體的兩個域(標(biāo)識為 sbvjhs.xyz 和 sbvjhs.club)解析為亞馬遜IP地址99.83.154.118，這是一個AWS全球加速器主機，并在VirusTotal上檢測到多個AV。

研究人員指出：“通過分析表明，Namecheap 最有可能將其用于域名停放目的，不會用作ChaChi IOC。”

關(guān)于PYSA勒索軟件

Pysa自2019年10月以來一直活躍，并與國際上的幾次早期攻擊有關(guān)。

2021年1月，Pysa的黑客們公布了從英國當(dāng)?shù)卣畽C構(gòu)哈克尼委員會(Hackney Council)竊取的數(shù)據(jù)，該機構(gòu)在2020年10月入侵了其網(wǎng)絡(luò)，導(dǎo)致其IT系統(tǒng)無法運行。

2020年3月，法國計算機緊急響應(yīng)小組表示，Pysa針對法國地方政府進行勒索軟件攻擊。

Digital Shadows上個月的一份報告發(fā)現(xiàn)，Pysa是采用黑客和泄露模式的最新勒索軟件之一。伴隨惡意軟件的升級，犯罪團伙通過竊取數(shù)據(jù)或加密等方式不斷打擊國家關(guān)鍵基礎(chǔ)設(shè)施，從而造成除經(jīng)濟之外的重大影響，嚴重影響社會生活運轉(zhuǎn)。而作為網(wǎng)絡(luò)最基礎(chǔ)的部分之一——軟件安全，在確保網(wǎng)絡(luò)安全上起到重要作用。

不難發(fā)現(xiàn)，惡意軟件大多數(shù)通過軟件系統(tǒng)的安全漏洞實施入侵，從而進行橫向移動或發(fā)生軟件供應(yīng)鏈攻擊，因此在開發(fā)期間通過靜態(tài)代碼檢測等工具查找并修正安全漏洞，可以有效提高軟件安全性，在一定程度上阻止大部分犯罪分子的攻擊，為網(wǎng)絡(luò)安全增加保障。

參讀鏈接：

https://www.inforisktoday.com/pysa-ransomware-gang-targets-linux-a-17514