Blackberry entdeckt Remote Access Trojan (RAT) ChaChi

Publiziert am 24. Juni 2021 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)[English]Sicherheitsexperten des Threat Research and Intelligence Team von BlackBerry, haben den Remote Access Trojan (RAT) ChaChi entdeckt. Der auf Windows-Systeme spezialisierte Trojaner wurde von den Hackern der PYSA-Ransomware entwickelt und greift Ziele weltweit an. In den vergangenen Monaten wurden gezielt Bildungseinrichtungen angegriffen. Die Hacker, die mit ChaChi seit Sommer 2020 weltweit Ziele attackieren, agieren von IP-Adressen aus Deutschland und Rumänien aus.

Anzeige

ChaChi ist ein speziell entwickelter Trojaner, der in der recht jungen Programmiersprache „Go", auch bekannt als „Golang", geschrieben wurde. Dies erschwert die Analyse der Schadsoftware, da viele Kernwerkzeuge für den Analyseprozess noch entwickelt werden. Der Name ChaChi stammt von zwei Schlüsselkomponenten des RAT, Chashell und Chisel. Dies sind Werkzeuge, die von den Malware-Betreibern verwendet werden, um ihre beabsichtigten Aktionen durchzuführen, anstatt maßgeschneiderte Tools zu erstellen, um diese Funktionalität zu erreichen.

Die ersten Versionen von PYSA sind seit Ende 2018 im Umlauf. Der Name dieser Bedrohung stammt von der Dateierweiterung (.PYSA), die von frühen Varianten verwendet wurde, um verschlüsselte Dateien umzubenennen, und von der Lösegeldforderung, die die Opfer davor warnte, "Ihr System zu schützen, Amigo".

Die BlackBerry-Experten haben zahlreiche Untersuchungen durchgeführt und auf Vorfälle der PYSA-Ransomware reagiert, bei denen auch ChaChi zum Einsatz kamen. Zu den wichtigsten Erkenntnissen der PYSA-Kampagne gehören:

  • Ausheblung der Verteidigung: PowerShell-Skripte zum Deinstallieren/Stoppen/Deaktivieren von Antivirussoftware und Firewall.
  • Zugriff auf Anmeldeinformationen: Dumping von Anmeldeinformationen aus LSASS ohne Mimikatz (comsvcs.dll).
  • Erkennung: Interne Netzwerkaufzählung mit Advanced Port Scanner.
  • Persistenz: ChaChi wird als Dienst installiert.
  • Seitliche Verschiebung: RDP und PsExec.
  • Exfiltration: Wahrscheinlich über ChaChi-Tunnel (noch nicht beobachtet).
  • Befehl und Kontrolle (C2): ChaChi RAT.

Weitere Informationen finden in diesem BlackBerry-Artikel der Sicherheitsforscher.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.