Eerste op de markt - ChaChi GoLang RAT

Trojan gebruikt door operators van de PYSA (aka Mespinoza) ransomware om slachtoffers wereldwijd aan te vallen

| BlackBerry | 5 min | 23 juni 2021 15:00
Afbeelding: ChaChi GoLang RAT | Copyright: BlackBerry
Het BlackBerry Threat Research and Intelligence Team heeft een nog niet eerder genoemde Golang remote access Trojan (RAT) opgespoord die gericht is op Windows®-systemen. We hebben deze RAT ChaChi genoemd. Deze Trojan is gebruikt door de operators van de PYSA (aka Mespinoza) ransomware als onderdeel van hun toolset om slachtoffers wereldwijd aan te vallen, maar het meest recentelijk gericht op onderwijsorganisaties.

De naam ChaChi komt van twee belangrijke onderdelen van de RAT, Chashell en Chisel. Dit zijn tools die worden gebruikt door de malware operators om hun beoogde acties uit te voeren, in plaats van het creëren van op maat gemaakte tools om deze functionaliteit te bereiken.

ChaChi is een nieuwkomer in de groeiende lijst van kwaadaardige software geschreven in Go, ook bekend als Golang, wat een relatief jonge programmeertaal is. Omdat dit zo'n nieuw fenomeen is, zijn veel kernhulpmiddelen voor het analyseproces nog bezig met een inhaalslag. Dit kan van Go een moeilijkere taal maken om te analyseren.

Tijdlijn

ChaChi is ten minste sinds de eerste helft van 2020 in het wild waargenomen zonder veel aandacht te krijgen van de cyberbeveiligingsindustrie. De eerste bekende variant van ChaChi werd gebruikt bij aanvallen op de netwerken van lokale overheidsinstanties in Frankrijk, en werd ten tijde van de aanvallen vermeld als indicator of compromise (IoC) in een publicatie van CERT France.

Die eerste variant van ChaChi was duidelijk een nieuw stuk gereedschap in het arsenaal van de PYSA-operator, aangezien het de verduisterings-, port-forwarding- en DNS-tunnelling-mogelijkheden ontbeerde die in de overgrote meerderheid van de geobserveerde varianten werden gebruikt, aangezien die aanvallen erop wijzen dat er enige tijd werd geïnvesteerd om ChaChi snel te ontwikkelen tot het gereedschap dat het vandaag de dag is.

SPYSA, en dus ook ChaChi, zijn sindsdien waargenomen in aanvallen in een groot aantal sectoren. Hieronder vallen organisaties in de gezondheidszorg en particuliere bedrijven.

Sindsdien hebben BlackBerry-analisten waargenomen dat de latere, meer verfijnde versies van ChaChi werden ingezet door de PYSA Ransomware-operators in een campagne die zijn focus heeft verlegd naar onderwijsinstellingen in de VS, waar de activiteit recentelijk is toegenomen, zoals gemeld door de FBI. Bij deze recente aanvallen is PYSA ransomware aangetroffen in 12 Amerikaanse staten en in het Verenigd Koninkrijk, bij gegevensinbreuken gericht op hoger onderwijs en K-12 scholen.

Deze doelgroepen zijn een centraal punt geweest voor aanvallers en worden nog steeds in een alarmerend tempo aangetast. Dit kan deels te wijten zijn aan het feit dat organisaties in de gezondheidszorg en het onderwijs vatbaarder zijn voor cyberaanvallen, omdat ze waarschijnlijk minder goed zijn uitgerust met een beveiligingsinfrastructuur of niet over de middelen beschikken om prioriteit te geven aan beveiliging.

Organisaties in de gezondheidszorg en het onderwijs herbergen ook grote hoeveelheden gevoelige gegevens, waardoor ze een waardevoller doelwit vormen. Het is niet ongebruikelijk dat scholen en ziekenhuizen verouderde systemen, slechte e-mailfiltering, geen gegevensback-ups of ongepatchte systemen in hun omgeving hebben. Dit maakt hun netwerken kwetsbaarder voor exploits en ransomware-aanvallen.

BlackBerry heeft vele onderzoeken uitgevoerd en gereageerd op incidenten met PYSA-ransomware waarbij ook ChaChi werd geïdentificeerd op hosts in de slachtofferomgeving. De belangrijkste hoogtepunten van de PYSA-campagne zijn:
  • Verdedigingsontwijking: PowerShell-scripts om antivirus en andere essentiële services te verwijderen, te stoppen of uit te schakelen.
  • Toegang tot referenties: Dumping van credentials van LSASS zonder Mimikatz (comsvcs.dll).
  • Ontdekking: Interne netwerk opsomming met behulp van Advanced Port Scanner,
  • Persistentie: ChaChi geïnstalleerd als een Service.
  • Zijwaartse verplaatsing: RDP en PsExec.
  • Exfiltratie: Waarschijnlijk via ChaChi tunnel (niet waargenomen).
  • Commando en controle: ChaChi RAT.

Netwerkinfrastructuur

Analyse van geëxtraheerde netwerkindicatoren van compromittering (IOC's) kan informatie opleveren die kan worden gebruikt als TTP's, en die hint naar vroegere (en mogelijk zelfs huidige) doelwitten. Door een tijdlijn in kaart te brengen van de data waarop domeinen uit ChaChi binaries voor het eerst werden gezien, kunnen we een periode van eind 2019 tot het eerste kwartaal van 2021 waarnemen waarin de PYSA-operators het meest actief waren.

In totaal werden in die periode 19 nieuwe domeinen gecreëerd, die als C2 voor ChaChi fungeerden. Uit onze gegevens blijkt dat ChaChi-domeinen enkele maanden voordat een daadwerkelijke aanval plaatsvond, kunnen en zijn aangemaakt. Dezelfde ChaChi binaries, en dus domeinen, werden zelfs in meerdere aanvallen gebruikt.

Locatie

Wanneer we de IP-adressen van ChaChi binaries vergelijken met hun respectievelijke ASN's en regio's, zien we dat IP-adressen uit Roemenië of Duitsland goed zijn voor meer dan 50% van het totaal. Ongeveer 60% van de IP-adressen zijn afkomstig van slechts twee ASNs.

Nep Phishing domein voor Banco Chile

BlackBerry-onderzoekers traceren en monitoren C2-servers voortdurend met behulp van een verscheidenheid aan fingerprinting- en ontdekkingstechnieken. Eén bepaald IP-adres dook toevallig op in een van onze inlichtingenplatforms begin december van 2020 en was actief voor een periode van iets meer dan 24 uur. Het IP (45.147.230[.]212) wordt gehost door AS30823 Combahton in Duitsland. Het activeerde een van onze sensoren voor PowerShell Empire, waarvan artefacten zijn waargenomen op systemen na een PYSA ransomware incident:

Text

Description automatically generated
Figuur 1: Alert voor PowerShell Empire op public facing server.

Het controleren van de domein resoluties op de geëxtraheerde IP adressen kan ook interessante resultaten en intelligentie opleveren. Het IP adres 194.187.249[.]102 werd geëxtraheerd uit een monster van ChaChi samen met een domein dat gebruikt werd als een C2 server. Dit domein was sbvjhs[.]xyz. Het zal je niet verbazen dat de nameservers, "ns1" en "ns2" voor dat domein ook naar hetzelfde IP-adres verwijzen. Maar wat interessant is, is dat het andere domein dat ook naar datzelfde IP adres verwijst, login.bancocchile[.]com is:

Graphical user interfaceDescription automatically generated
Figuur 2: Het IP van ChaChi leidt naar het valse Banco Chile-domein.

Het legitieme domein voor Banco Chile wordt gehost op een ".cl" Top Level Domain (TLD) en heeft niet de extra "c" tussen de woorden "Banco" en "Chile". Dit kan een domein zijn dat mogelijk bedoeld is voor een van de volgende twee doeleinden:
  • Een phishingdomein dat gericht is op werknemers of klanten van Banco Chile.
  • Een domein dat wordt gebruikt om een kopie van ChaChi in scène te zetten en af te leveren aan nietsvermoedende klikkers van een kwaadaardige link.
Een van beide of zelfs beide opties zijn mogelijk, gezien het feit dat deze domeinen gelijktijdig en gedurende meerdere maanden actief waren; hun laatst geziene data waren zo recent als 1 juni 2021.

Toevallig waren beide nameserver-domeinen en het nep Banco Chile-domein allemaal actief voor, tijdens en na de gemelde inbreuk bij een andere Chileense bank (Banco Estado), die in september 2020 werd gemeld en werd toegeschreven aan REvil ransomware.

Belangrijkste conclusies

  • ChaChi is een Custom RAT ontwikkeld met behulp van Golang, versluierd en ingezet door PYSA ransomware operators.
  • ChaChi was meer dan een jaar "onontdekt".

Hoe vind je dit artikel?


Geef jij de eerste rating?

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Over BlackBerry

BlackBerry (NYSE: BB en TSX: BB) levert betrouwbare beveiligingssoftware en -diensten. Het bedrijf biedt organisaties en overheidsinstellingen de technologie die ze nodig hebben om het Internet of Things te beveiligen. Gevestigd in Waterloo, Ontario, zet het bedrijf zich in voor veiligheid, cybersecurity en dataprivacy. Daarnaast is BlackBerry voorloper op belangrijke gebieden zoals kunstmatige intelligentie, endpointsecurity en -management, encryptie en geïntegreerde systemen.
Meer over BlackBerry

Disclaimer

Dit item is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als het item een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis het originele item leidend.
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
20191029224512.jpg
Het no-nonsense internetbureau
20191030101402.jpg
De grootste Nederlandse site over Android
20191030103431.png
Conference by app developers, for app developers!
20191029200614.jpg
Drive value with data
20191030100036.png
Voor professionals met passie voor digitale revolutie!
© 2019-2021, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.