一種用Go編程語言編寫的新木馬已經(jīng)從攻擊政府機(jī)構(gòu)轉(zhuǎn)向醫(yī)療機(jī)構(gòu)和學(xué)校�。
PYSA勒索軟件團(tuán)伙在使用一種名為ChaChi的遠(yuǎn)程訪問木馬 (RAT) 來為醫(yī)療保健和教育機(jī)構(gòu)的軟件系統(tǒng)建立后門并竊取數(shù)據(jù),然后利用這些數(shù)據(jù)進(jìn)行雙重勒索��。
RAT最初被作為一種缺乏混淆�����、端口轉(zhuǎn)發(fā)和DNS隧道功能的工具���。然而在分析之后攻擊中檢測(cè)到的樣本時(shí)����,它的開發(fā)者將其升級(jí)為包含所有這些功能���。在2020年第一季度首次發(fā)現(xiàn)攻擊后�����,ChaChi的代碼在3月底4月初被更改為包括混淆和持久性����,隨后ChaChi變種增加了DNS隧道和端口轉(zhuǎn)發(fā)/代理功能�����。
升級(jí)的ChaChi RAT用于攻擊教育及醫(yī)療行業(yè)
該惡意軟件現(xiàn)在能夠執(zhí)行典型的RAT活動(dòng)�,包括創(chuàng)建后門和數(shù)據(jù)泄露,及通過Windows本地安全機(jī)構(gòu)子系統(tǒng)服務(wù)進(jìn)行憑證轉(zhuǎn)儲(chǔ)(LSASS)、網(wǎng)絡(luò)枚舉�����、DNS隧道���、SOCKS代理功能���、服務(wù)創(chuàng)建和跨網(wǎng)絡(luò)的橫向移動(dòng)。
根據(jù)2021年3月FBI發(fā)布的報(bào)告顯示���,這些攻擊最終導(dǎo)致針對(duì)英國(guó)和美國(guó)12個(gè)州的教育機(jī)構(gòu)的PYSA勒索軟件活動(dòng)升級(jí)��。這些身份不明的網(wǎng)絡(luò)行為者專門針對(duì)高等教育�、K-12學(xué)校和神學(xué)院��。
醫(yī)療機(jī)構(gòu)及學(xué)校系統(tǒng)的脆弱性
醫(yī)療保健和教育機(jī)構(gòu)經(jīng)常處理大量敏感的個(gè)人和健康信息����,這導(dǎo)致此行業(yè)成為PYSA等勒索軟件團(tuán)伙的完美受害者�,勒索軟件還會(huì)在加密受害者網(wǎng)絡(luò)之前竊取數(shù)據(jù)。
由于學(xué)校和醫(yī)院很少進(jìn)行數(shù)據(jù)備份也很少打補(bǔ)丁的脆弱系統(tǒng)使得勒索軟件攻擊者更容易“得手”����,而且這些行業(yè)更容易被說服支付贖金來恢復(fù)系統(tǒng)找回?cái)?shù)據(jù)�����。
關(guān)于PYSA和ChaChi
PYSA勒索軟件于2019年10月首次被發(fā)現(xiàn)����,當(dāng)時(shí)有關(guān)公司受到新勒索軟件攻擊的報(bào)道使其開始浮出水面���。該木馬是PYSA/Mespinoza的作品��,這個(gè)勒索軟件團(tuán)伙以竊取大量敏感數(shù)據(jù)而聞名�,包括個(gè)人身份信息(PII)���、工資稅信息和其他類型數(shù)據(jù)�。
ChaChi是一種基于golang的自定義RAT惡意軟件�,于2020年初由PYSA運(yùn)營(yíng)商開發(fā),用于訪問和控制受感染的系統(tǒng)�。根據(jù)Intezer說法, 在過去幾年中����,基于Go的惡意軟件樣本增加了大約2000% 。
ChaChi之所以如此命名,是因?yàn)镃hashell和Chisel�,這是惡意軟件在攻擊期間使用的兩種現(xiàn)成工具,并針對(duì)這些目的進(jìn)行了修改����。Chashell是DNS提供商的反向shell,而Chisel是端口轉(zhuǎn)發(fā)系統(tǒng)���。該惡意軟件還利用可公開訪問的GoLang工具gobfuscate進(jìn)行混淆處理�。
最早的一個(gè)ChaChi樣本在2020年3月份部署在法國(guó)地方政府的網(wǎng)絡(luò)上����,但后來勒索軟件團(tuán)伙利用升級(jí)后的版本瞄準(zhǔn)從醫(yī)療保健到私營(yíng)公司等多個(gè)垂直領(lǐng)域。
勒索軟件重點(diǎn)攻擊對(duì)象發(fā)生轉(zhuǎn)變
總體而言�����,PYSA 專注于“大型狩獵游戲”——選擇利潤(rùn)豐厚的目標(biāo)����,并在需要贖金時(shí)支付大量資金。同時(shí)這些攻擊是有針對(duì)性的�,通常由操作員控制,而不是自動(dòng)化工具的任務(wù)�。
與早期NotPetya或WannaCry等著名勒索軟件活動(dòng)相比明顯不同的是,這些網(wǎng)絡(luò)威脅者正利用企業(yè)網(wǎng)絡(luò)和安全錯(cuò)誤配置方面的先進(jìn)知識(shí)����,來實(shí)現(xiàn)橫向移動(dòng)并進(jìn)入受害者的環(huán)境。
企業(yè)安全如何“自救”
相較于傳統(tǒng)網(wǎng)絡(luò)安全性較差的企業(yè)�,進(jìn)行數(shù)字化轉(zhuǎn)型的企業(yè)同樣會(huì)增加網(wǎng)絡(luò)系統(tǒng)受攻擊面。為了能更靈活高效的應(yīng)對(duì)這些復(fù)雜的新型安全挑戰(zhàn)���,無論軟件開發(fā)組織還是各企業(yè)都因該提前做好安全防范措施�,并部署適合自己的安全檢測(cè)工具����。
根據(jù)IT治理協(xié)會(huì)ISACA在2021年的一項(xiàng)研究,只有32%的企業(yè)對(duì)軟件系統(tǒng)攻擊做好了充分準(zhǔn)備�。在發(fā)生網(wǎng)絡(luò)攻擊事件前采取更嚴(yán)格的安全防護(hù)措施,不僅能使企業(yè)更好地防御和響應(yīng)網(wǎng)絡(luò)攻擊���,而且還能最大限度地降低相關(guān)成本��。網(wǎng)絡(luò)攻擊離不開系統(tǒng)漏洞�����, 一旦系統(tǒng)出現(xiàn)漏洞���,對(duì)漏洞的檢測(cè)���、定義和恢復(fù)對(duì)企業(yè)來說是一個(gè)復(fù)雜而又漫長(zhǎng)的過程。
產(chǎn)生漏洞的原因大多是由于代碼缺陷造成的�,在軟件開發(fā)初期利用 靜態(tài)代碼檢測(cè)工具及SCA等可以第一時(shí)間查找并修復(fù)系統(tǒng)漏洞,
預(yù)防是比治療更實(shí)用的解決方案�����。為了減少企業(yè)遭受攻擊的幾率�,避免數(shù)據(jù)泄漏企業(yè)有必要提前做好安全防御計(jì)劃:
1、提前對(duì)網(wǎng)絡(luò)攻擊事件進(jìn)行演習(xí);
2���、制定相關(guān)網(wǎng)絡(luò)安全準(zhǔn)則并加強(qiáng)人員安全意識(shí);
3��、警惕軟件供應(yīng)鏈攻擊���,留意網(wǎng)絡(luò)攻擊者利用第三方公司作為跳板;
4、加強(qiáng)網(wǎng)絡(luò)安全檢測(cè)能力及修復(fù)漏洞�,對(duì)網(wǎng)絡(luò)攻擊者行為進(jìn)行檢測(cè),包括并不限于:
(1)對(duì)集成網(wǎng)絡(luò)和端點(diǎn)進(jìn)行威脅檢測(cè)實(shí)時(shí)遙測(cè)并分析功能
(2)利用 靜態(tài)代碼檢測(cè)工具及動(dòng)態(tài)應(yīng)用安全測(cè)試查找系統(tǒng)漏洞
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
