Anzeige

Ransomware

Kürzlich wurde auf VirusTotal die erste Linux-Version von ChaChi entdeckt, einem Golang-basierten DNS-Tunnel-Backdoor. Die Malware verwendet Domains, die mit Ransomware von PYSA, auch bekannt als Menipoza Ransomware Gang, in Verbindung stehen.

Die ChaChi-Infrastruktur von PYSA scheint in den letzten Wochen weitgehend inaktiv gewesen zu sein, da sie in den meisten Fällen geparkt wurde und offenbar nicht betriebsbereit ist. Lacework geht davon aus, dass es sich bei diesem Beispiel um einen PYSA-Akteur handelt, der mit dem ChaChi-Backdoor auf Linux-Hosts abzielt.
 

Hintergrund: Risiken für Cloud-Netzwerke wachsen

Ransomware-Angreifer entwickeln ihre Kampagnen kontinuierlich weiter und nehmen zunehmend Linux und Cloud-Netzwerke ins Fadenkreuz. In den letzten Wochen wurden beispielsweise die Ransomware-Gruppen BlackMatter, HelloKitty und REvil erstmalig dabei beobachtet, wie sie über ESXi-Server mit ELF-Verschlüsselungsprogrammen auf Linux-Hosts zugegriffen haben. Die Verlagerung von Ransomware auf Linux ist ein wichtiger Trend, den man genau im Auge behalten muss.
Ransomware ist äußerst lukrativ. Akteure suchen stetig nach Möglichkeiten, ihren Profit zu steigern. Linux-Server und Cloud-Infrastrukturen betreffende Ransomware-Aktivitäten sind zwar nach wie vor selten, stellen aber eine echte Bedrohung für operative Prozesse und Kundendaten dar. Indikatoren für diese Aktivitäten sind auf Github von Lacework-Labs verfügbar.


Analyse

Im August 2021 identifizierte Lacework Labs eine Linux-Variante (MD5: 14abd57e8eb06191f12c0d84f9c1470b) von ChaChi. Bei ChaChi handelt es sich um eine angepasste Variante eines auf Open-Source-Golang basierenden RAT, der DNS-Tunneling für C2-Kommunikation einsetzt. Das Exemplar wurde mit Domains konfiguriert, die von Palo Alto Network im Juli gemeldet wurden:

• sbvjhs.xyz
• sbvjhs.club
• firefox-search.xyz

Obwohl dieser Schädling noch recht neu ist, wurde er bereits am 14. Juni 2021 auf VirusTotal hochgeladen und hatte zu diesem Zeitpunkt nur 1/61 AV-Erkennungen. Nach unserem Tweet Ende August und zum Zeitpunkt der Artikelerstellung liegt die Erkennungsrate bei 20/61. Die Linux-Variante weist die gleichen Merkmale wie ihr Windows-Pendant auf, insbesondere die Kernfunktionalität, die Dateigröße (>8 MB) und die Verwendung des Golang-Obfuskators Gobfuscate. Ein Unterscheidungsmerkmal der Linux-Version waren die vorhandenen Debug-Ausgaben, die Datetime-Daten enthielten.

ChaChi nutzt benutzerdefinierte Nameserver, die als C2-Server funkgieren, um das DNS-Tunneling-Protokoll zu unterstützen. Daher lassen sich die C2-Hosts durch eine passive DNS-Analyse der Nameserver-Domänen identifizieren. Die Analyse zeigt, dass der Großteil der ChaChi-Infrastruktur seit dem 23./24. Juni 2021 geparkt oder offline ist. Die beiden Ausnahmen scheinen die Domänen ns1.ccenter.tech und ns2.spm.best zu sein.

Zum Zeitpunkt dieser Meldung wurden zwei Domains der Linux-Variante (sbvjhs.xyz und sbvjhs.club) auf die Amazon IP-Adresse 99.83.154.118 aufgelöst. Diese IP-Adresse ist ein AWS Global Accelerator-Host und hat mehrere AV-Erkennungen auf VirusTotal. Die Analyse von Lacework zeigt jedoch, dass diese Adresse höchstwahrscheinlich von Namecheap für Domain-Parking-Zwecke verwendet wird und nicht als ChaChi IOC genutzt werden sollte.

www.lacework.com


Weitere Artikel

Cybersecurity

Menschen fühlen sich im beruflichen Umfeld besser geschützt

Im Beruf fühlen sich die Menschen in Deutschland bei der IT-Sicherheit besser geschützt als im privaten Bereich. Das zeigt die repräsentative Umfrage „Cybersicherheit in Zahlen“ von G DATA CyberDefense in Zusammenarbeit mit brand eins und Statista.
China Smartphone

Huawei und Xiaomi - BSI überprüft Geräte chinesischer Smartphone-Hersteller

Wie letzte Woche bekannt wurde, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) kürzlich Untersuchungen gegen chinesische Smartphone-Hersteller eingeleitet. In diesem Statement erläutert Arved Graf von Stackelberg, CSO / CMO von DRACOON,…
Snom IP-Telefon

Snom stellt neues IP-Schreibtischtelefon vor

Während es in den letzten Jahren den Anschein hatte, dass sich Snom mehr auf Lösungen für den DECT-Bereich konzentrierte, bringt der Hersteller eine komplett neue Linie von IP-Geschäftstelefonen heraus.
Cyber Security

WatchGuard Technologies auf der it-sa 2021

Seit der letzten it-sa in Nürnberg vor zwei Jahren hat sich viel getan. Durch die von Corona ausgelöste Veränderung der Arbeitsszenarien auf Unternehmensseite sind ganz neue Anforderungen auf die Agenda der IT-Verantwortlichen gerückt – gerade auch im…
Geschäftsleute

Bundestagswahl: Digitalwirtschaft erwartet digitalpoltischen Wurf

Zum Ausgang der Bundestagswahl äußerte sich Bitkom-Präsident Achim Berg, der auf die Verantwortung hinsichtlich der digitalpolitischen Herausforderungen verweist.
Umwelt Digitalisierung

Die Hälfte der Deutschen hofft auf Technologien gegen den Klimawandel

Am heutigen Freitag wird weltweit dafür demonstriert, die Klimakrise einzudämmen und das 1,5-Grad-Ziel des Pariser Klimaabkommens einzuhalten. Mehr als die Hälfte der Menschen in Deutschland setzt auch auf technische Innovationen, um den CO2-Ausstoß zu…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.