【安全资讯】ChaChi恶意软件的Linux新变种

安恒威胁情报中心 2021-09-13 15:23:13 123人浏览

引言

2021年8月,研究人员发现了ChaChi的一个Linux变种,该恶意软件的域与PYSA勒索软件团伙相关。ChaChi是一种基于Golang的开源RAT的定制变种,它利用DNS隧道进行C2通信。PYSA勒索软件于 2019 年 12 月首次被发现,主要攻击教育、医疗保健和政府部门的 Windows 系统。研究人员以中等可信度评估,该变体代表PYSA攻击者已将攻击扩展到Linux系统。

 

简况

Linux 变体与其 Windows 版本具有相同的特征,最显着的是核心功能、大文件大小 (8MB +) 和 Golang 混淆器Gobfuscate的使用。Linux版本的一个显着特征是存在包含日期时间数据的调试输出,如下图:

ChaChi利用DNS隧道进行C2通信,可以通过对名称服务器域的被动DNS分析来识别C2主机。自 2021 年 6 月 23 日至 24 日以来,大多数 ChaChi 基础设施已停止或离线。此次发现的Linux变体的两个域(sbvjhs.xyz 和 sbvjhs.club)被解析为 Amazon IP 地址 99.83.154.118。这个IP是一个 AWS 全球加速器主机,但分析表明这个ip很可能被用于域停放目的。

 

总结

PYSA 的 ChaChi 基础设施似乎在过去几周基本上处于休眠状态,大部分都处于停放状态,显然不再运行。目前尚不清楚Linux变体是否已用于攻击,观察到的调试输出可能表明样本仍处于测试阶段。该变种表明勒索软件的攻击目标转向 Linux系统的重要趋势。

失陷指标(IOC)60
PYSA ChaChi 其他
0条评论
0
0
分享
安恒威胁情报中心专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。