ChaChi 트로이 목마

ChaChi는 맬웨어 연구원이 발견 한 새로운 RAT (원격 액세스 트로이 목마) 위협입니다. 악성 코드는 전체적으로 GoLang으로 작성되었으며, 이는 더 모호하고 탐지하기 어려운 언어를 찾기 위해 C 및 C ++ 언어에서 눈에 띄는 변화를 보이는 사이버 범죄자들 사이의 최근 추세입니다. GoLang은 단 2 년 만에 해당 언어를 사용하는 맬웨어 위협 수가 약 2,000 % 증가하여 선호되는 선택으로 보입니다.

위협의 이름은 Chashell과 Chisel의 두 가지 기성 도구에서 파생되었습니다. ChaChai 악성 코드는 작동의 일부로 두 도구의 수정 된 버전을 사용합니다. Chashell은 DNS 공급자를 통한 역방향 셸로 설명되는 반면 Chisel은 포트 전달 시스템으로 작동합니다.

ChaChi 트로이 목마 의 진화

2020 년 상반기에 탐지 된 위협의 초기 샘플은 정교함이 거의 없었고 기본적인 난독 화 및 제한된 기능을 가졌습니다. 당시 ChaChi는 프랑스의 지방 정부 당국에 대한 일련의 공격에 활용되었습니다. 그러나 그 이후로 위협은 급속도로 발전했으며 현재 버전은 훨씬 더 위협적입니다.

ChaChi는 이제 완전한 RAT 기능을 보유하고 있습니다. 손상된 시스템에 대한 백도어 채널을 설정하고, 민감한 데이터를 유출하고, Windows LSASS (Local Security Authority Subsystem Service)를 통해 자격 증명에 액세스하고 피해자의 네트워크 내에서 측면으로 이동할 수 있습니다. 난독 화를 위해 위협은 GoLang 난독 화를위한 일반적인 선택 인 공개적으로 사용 가능한 도구 인 gobfuscate를 사용합니다.

RAT의 목표도 급격한 변화를 겪었습니다. ChaChi는 현재 미국의 대규모 학교 및 교육 기관을 대상으로하는 랜섬웨어 운영에 사용되고 있습니다.

새로운 공격 행동은 ChaChi가 PYSA / Mespinoza 해커 그룹에 의해 개발되었다는 추측을 뒷받침합니다. PYSA는 여러 랜섬웨어 캠페인에 관여했으며 FBI는 이전에 영국과 미국에 위치한 학교에 대한 그룹의 공격이 증가 할 가능성이 있다는 경고를 발표했습니다.