【安全资讯】ChaChi恶意软件的Linux新变种

引言

2021年8月，研究人员发现了ChaChi的一个Linux变种，该恶意软件的域与PYSA勒索软件团伙相关。ChaChi是一种基于Golang的开源RAT的定制变种，它利用DNS隧道进行C2通信。PYSA勒索软件于 2019 年 12 月首次被发现，主要攻击教育、医疗保健和政府部门的 Windows 系统。研究人员以中等可信度评估，该变体代表PYSA攻击者已将攻击扩展到Linux系统。

简况

Linux 变体与其 Windows 版本具有相同的特征，最显着的是核心功能、大文件大小 (8MB +) 和 Golang 混淆器Gobfuscate的使用。Linux版本的一个显着特征是存在包含日期时间数据的调试输出，如下图：

ChaChi利用DNS隧道进行C2通信，可以通过对名称服务器域的被动DNS分析来识别C2主机。自 2021 年 6 月 23 日至 24 日以来，大多数 ChaChi 基础设施已停止或离线。此次发现的Linux变体的两个域（sbvjhs.xyz 和 sbvjhs.club）被解析为 Amazon IP 地址 99.83.154.118。这个IP是一个 AWS 全球加速器主机，但分析表明这个ip很可能被用于域停放目的。

总结

PYSA 的 ChaChi 基础设施似乎在过去几周基本上处于休眠状态，大部分都处于停放状态，显然不再运行。目前尚不清楚Linux变体是否已用于攻击，观察到的调试输出可能表明样本仍处于测试阶段。该变种表明勒索软件的攻击目标转向 Linux系统的重要趋势。