轉(zhuǎn)移目標(biāo)!PYSA勒索團(tuán)伙利用新型GoLang木馬攻擊學(xué)校及醫(yī)院

一種用Go編程語言編寫的新木馬已經(jīng)從攻擊政府機(jī)構(gòu)轉(zhuǎn)向醫(yī)療機(jī)構(gòu)和學(xué)校。

PYSA勒索軟件團(tuán)伙在使用一種名為ChaChi的遠(yuǎn)程訪問木馬 (RAT) 來為醫(yī)療保健和教育機(jī)構(gòu)的軟件系統(tǒng)建立后門并竊取數(shù)據(jù)，然后利用這些數(shù)據(jù)進(jìn)行雙重勒索。

RAT最初被作為一種缺乏混淆、端口轉(zhuǎn)發(fā)和DNS隧道功能的工具。然而在分析之后攻擊中檢測到的樣本時，它的開發(fā)者將其升級為包含所有這些功能。在2020年第一季度首次發(fā)現(xiàn)攻擊后，ChaChi的代碼在3月底4月初被更改為包括混淆和持久性，隨后ChaChi變種增加了DNS隧道和端口轉(zhuǎn)發(fā)/代理功能。

升級的ChaChi RAT用于攻擊教育及醫(yī)療行業(yè)

該惡意軟件現(xiàn)在能夠執(zhí)行典型的RAT活動，包括創(chuàng)建后門和數(shù)據(jù)泄露，及通過Windows本地安全機(jī)構(gòu)子系統(tǒng)服務(wù)進(jìn)行憑證轉(zhuǎn)儲(LSASS)、網(wǎng)絡(luò)枚舉、DNS隧道、SOCKS代理功能、服務(wù)創(chuàng)建和跨網(wǎng)絡(luò)的橫向移動。

根據(jù)2021年3月FBI發(fā)布的報告顯示，這些攻擊最終導(dǎo)致針對英國和美國12個州的教育機(jī)構(gòu)的PYSA勒索軟件活動升級。這些身份不明的網(wǎng)絡(luò)行為者專門針對高等教育、K-12學(xué)校和神學(xué)院。

醫(yī)療機(jī)構(gòu)及學(xué)校系統(tǒng)的脆弱性

醫(yī)療保健和教育機(jī)構(gòu)經(jīng)常處理大量敏感的個人和健康信息，這導(dǎo)致此行業(yè)成為PYSA等勒索軟件團(tuán)伙的完美受害者，勒索軟件還會在加密受害者網(wǎng)絡(luò)之前竊取數(shù)據(jù)。

由于學(xué)校和醫(yī)院很少進(jìn)行數(shù)據(jù)備份也很少打補(bǔ)丁的脆弱系統(tǒng)使得勒索軟件攻擊者更容易“得手”，而且這些行業(yè)更容易被說服支付贖金來恢復(fù)系統(tǒng)找回數(shù)據(jù)。

關(guān)于PYSA和ChaChi

PYSA勒索軟件于2019年10月首次被發(fā)現(xiàn)，當(dāng)時有關(guān)公司受到新勒索軟件攻擊的報道使其開始浮出水面。該木馬是PYSA/Mespinoza的作品，這個勒索軟件團(tuán)伙以竊取大量敏感數(shù)據(jù)而聞名，包括個人身份信息(PII)、工資稅信息和其他類型數(shù)據(jù)。

ChaChi是一種基于golang的自定義RAT惡意軟件，于2020年初由PYSA運(yùn)營商開發(fā)，用于訪問和控制受感染的系統(tǒng)。根據(jù)Intezer說法，在過去幾年中，基于Go的惡意軟件樣本增加了大約2000%。

ChaChi之所以如此命名，是因為Chashell和Chisel，這是惡意軟件在攻擊期間使用的兩種現(xiàn)成工具，并針對這些目的進(jìn)行了修改。Chashell是DNS提供商的反向shell，而Chisel是端口轉(zhuǎn)發(fā)系統(tǒng)。該惡意軟件還利用可公開訪問的GoLang工具gobfuscate進(jìn)行混淆處理。

最早的一個ChaChi樣本在2020年3月份部署在法國地方政府的網(wǎng)絡(luò)上，但后來勒索軟件團(tuán)伙利用升級后的版本瞄準(zhǔn)從醫(yī)療保健到私營公司等多個垂直領(lǐng)域。

勒索軟件重點攻擊對象發(fā)生轉(zhuǎn)變

總體而言，PYSA 專注于“大型狩獵游戲”——選擇利潤豐厚的目標(biāo)，并在需要贖金時支付大量資金。同時這些攻擊是有針對性的，通常由操作員控制，而不是自動化工具的任務(wù)。

與早期NotPetya或WannaCry等著名勒索軟件活動相比明顯不同的是，這些網(wǎng)絡(luò)威脅者正利用企業(yè)網(wǎng)絡(luò)和安全錯誤配置方面的先進(jìn)知識，來實現(xiàn)橫向移動并進(jìn)入受害者的環(huán)境。

企業(yè)安全如何“自救”

相較于傳統(tǒng)網(wǎng)絡(luò)安全性較差的企業(yè)，進(jìn)行數(shù)字化轉(zhuǎn)型的企業(yè)同樣會增加網(wǎng)絡(luò)系統(tǒng)受攻擊面。為了能更靈活高效的應(yīng)對這些復(fù)雜的新型安全挑戰(zhàn)，無論軟件開發(fā)組織還是各企業(yè)都因該提前做好安全防范措施，并部署適合自己的安全檢測工具。

根據(jù)IT治理協(xié)會ISACA在2021年的一項研究，只有32%的企業(yè)對軟件系統(tǒng)攻擊做好了充分準(zhǔn)備。在發(fā)生網(wǎng)絡(luò)攻擊事件前采取更嚴(yán)格的安全防護(hù)措施，不僅能使企業(yè)更好地防御和響應(yīng)網(wǎng)絡(luò)攻擊，而且還能最大限度地降低相關(guān)成本。網(wǎng)絡(luò)攻擊離不開系統(tǒng)漏洞，一旦系統(tǒng)出現(xiàn)漏洞，對漏洞的檢測、定義和恢復(fù)對企業(yè)來說是一個復(fù)雜而又漫長的過程。

產(chǎn)生漏洞的原因大多是由于代碼缺陷造成的，在軟件開發(fā)初期利用靜態(tài)代碼檢測工具及SCA等可以第一時間查找并修復(fù)系統(tǒng)漏洞，

預(yù)防是比治療更實用的解決方案。為了減少企業(yè)遭受攻擊的幾率，避免數(shù)據(jù)泄漏企業(yè)有必要提前做好安全防御計劃：

1、提前對網(wǎng)絡(luò)攻擊事件進(jìn)行演習(xí);

2、制定相關(guān)網(wǎng)絡(luò)安全準(zhǔn)則并加強(qiáng)人員安全意識;

3、警惕軟件供應(yīng)鏈攻擊，留意網(wǎng)絡(luò)攻擊者利用第三方公司作為跳板;

4、加強(qiáng)網(wǎng)絡(luò)安全檢測能力及修復(fù)漏洞，對網(wǎng)絡(luò)攻擊者行為進(jìn)行檢測，包括并不限于：

(1)對集成網(wǎng)絡(luò)和端點進(jìn)行威脅檢測實時遙測并分析功能

(2)利用靜態(tài)代碼檢測工具及動態(tài)應(yīng)用安全測試查找系統(tǒng)漏洞

參讀鏈接：

https://www.woocoom.com/b021.html?id=b6c3b6e33c8b44209e0a91c97ee026a8

https://www.zdnet.com/article/chachi-golang-a-new-go-trojan-focuses-on-attacking-us-schools/