【安全资讯】ChaChi恶意软件的Linux新变种
引言
2021年8月,研究人员发现了ChaChi的一个Linux变种,该恶意软件的域与PYSA勒索软件团伙相关。ChaChi是一种基于Golang的开源RAT的定制变种,它利用DNS隧道进行C2通信。PYSA勒索软件于 2019 年 12 月首次被发现,主要攻击教育、医疗保健和政府部门的 Windows 系统。研究人员以中等可信度评估,该变体代表PYSA攻击者已将攻击扩展到Linux系统。
简况
Linux 变体与其 Windows 版本具有相同的特征,最显着的是核心功能、大文件大小 (8MB +) 和 Golang 混淆器Gobfuscate的使用。Linux版本的一个显着特征是存在包含日期时间数据的调试输出,如下图:
ChaChi利用DNS隧道进行C2通信,可以通过对名称服务器域的被动DNS分析来识别C2主机。自 2021 年 6 月 23 日至 24 日以来,大多数 ChaChi 基础设施已停止或离线。此次发现的Linux变体的两个域(sbvjhs.xyz 和 sbvjhs.club)被解析为 Amazon IP 地址 99.83.154.118。这个IP是一个 AWS 全球加速器主机,但分析表明这个ip很可能被用于域停放目的。
总结
PYSA 的 ChaChi 基础设施似乎在过去几周基本上处于休眠状态,大部分都处于停放状态,显然不再运行。目前尚不清楚Linux变体是否已用于攻击,观察到的调试输出可能表明样本仍处于测试阶段。该变种表明勒索软件的攻击目标转向 Linux系统的重要趋势。
失陷指标(IOC)60
这么重要的IOC情报,赶紧
登录
来看看吧~
相关链接
https://www.lacework.com/blog/pysa-ransomware-gang-adds-linux-support/https://github.com/lacework/lacework-labs/blob/master/blog/pysa_ChaChi.csv
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享