Anzeige

Ransomware

Kürzlich wurde auf VirusTotal die erste Linux-Version von ChaChi entdeckt, einem Golang-basierten DNS-Tunnel-Backdoor. Die Malware verwendet Domains, die mit Ransomware von PYSA, auch bekannt als Menipoza Ransomware Gang, in Verbindung stehen.

Die ChaChi-Infrastruktur von PYSA scheint in den letzten Wochen weitgehend inaktiv gewesen zu sein, da sie in den meisten Fällen geparkt wurde und offenbar nicht betriebsbereit ist. Lacework geht davon aus, dass es sich bei diesem Beispiel um einen PYSA-Akteur handelt, der mit dem ChaChi-Backdoor auf Linux-Hosts abzielt.
 

Hintergrund: Risiken für Cloud-Netzwerke wachsen

Ransomware-Angreifer entwickeln ihre Kampagnen kontinuierlich weiter und nehmen zunehmend Linux und Cloud-Netzwerke ins Fadenkreuz. In den letzten Wochen wurden beispielsweise die Ransomware-Gruppen BlackMatter, HelloKitty und REvil erstmalig dabei beobachtet, wie sie über ESXi-Server mit ELF-Verschlüsselungsprogrammen auf Linux-Hosts zugegriffen haben. Die Verlagerung von Ransomware auf Linux ist ein wichtiger Trend, den man genau im Auge behalten muss.
Ransomware ist äußerst lukrativ. Akteure suchen stetig nach Möglichkeiten, ihren Profit zu steigern. Linux-Server und Cloud-Infrastrukturen betreffende Ransomware-Aktivitäten sind zwar nach wie vor selten, stellen aber eine echte Bedrohung für operative Prozesse und Kundendaten dar. Indikatoren für diese Aktivitäten sind auf Github von Lacework-Labs verfügbar.


Analyse

Im August 2021 identifizierte Lacework Labs eine Linux-Variante (MD5: 14abd57e8eb06191f12c0d84f9c1470b) von ChaChi. Bei ChaChi handelt es sich um eine angepasste Variante eines auf Open-Source-Golang basierenden RAT, der DNS-Tunneling für C2-Kommunikation einsetzt. Das Exemplar wurde mit Domains konfiguriert, die von Palo Alto Network im Juli gemeldet wurden:

• sbvjhs.xyz
• sbvjhs.club
• firefox-search.xyz

Obwohl dieser Schädling noch recht neu ist, wurde er bereits am 14. Juni 2021 auf VirusTotal hochgeladen und hatte zu diesem Zeitpunkt nur 1/61 AV-Erkennungen. Nach unserem Tweet Ende August und zum Zeitpunkt der Artikelerstellung liegt die Erkennungsrate bei 20/61. Die Linux-Variante weist die gleichen Merkmale wie ihr Windows-Pendant auf, insbesondere die Kernfunktionalität, die Dateigröße (>8 MB) und die Verwendung des Golang-Obfuskators Gobfuscate. Ein Unterscheidungsmerkmal der Linux-Version waren die vorhandenen Debug-Ausgaben, die Datetime-Daten enthielten.

ChaChi nutzt benutzerdefinierte Nameserver, die als C2-Server funkgieren, um das DNS-Tunneling-Protokoll zu unterstützen. Daher lassen sich die C2-Hosts durch eine passive DNS-Analyse der Nameserver-Domänen identifizieren. Die Analyse zeigt, dass der Großteil der ChaChi-Infrastruktur seit dem 23./24. Juni 2021 geparkt oder offline ist. Die beiden Ausnahmen scheinen die Domänen ns1.ccenter.tech und ns2.spm.best zu sein.

Zum Zeitpunkt dieser Meldung wurden zwei Domains der Linux-Variante (sbvjhs.xyz und sbvjhs.club) auf die Amazon IP-Adresse 99.83.154.118 aufgelöst. Diese IP-Adresse ist ein AWS Global Accelerator-Host und hat mehrere AV-Erkennungen auf VirusTotal. Die Analyse von Lacework zeigt jedoch, dass diese Adresse höchstwahrscheinlich von Namecheap für Domain-Parking-Zwecke verwendet wird und nicht als ChaChi IOC genutzt werden sollte.

www.lacework.com


Weitere Artikel

Datenschutz

Schutz privater Daten – nicht nur am Europäischen Datenschutztag ein wichtiges Thema

Am heutigen Freitag, 28. Januar, feiert er seinen 15. Geburtstag, der Europäische Datenschutztag. Und insbesondere in Europa ist der Schutz privater Daten ein hohes Gut.
Data Leak

Sensible Daten: Festplatte aus Ausländerbehörde versteigert

Bei der Entsorgung eines Computers aus der Lübecker Verwaltung hat es offenbar eine Datenschutzpanne gegeben. Der mit der Entsorgung beauftragte Dienstleister habe einen Computer samt der Festplatte beim Online-Händler ebay.de verkauft, auf der noch sensible…
Facebook

Urteile zur Klarnamenpflicht in sozialen Netzwerken erklärt

Der Bundesgerichtshof (BGH) urteilte, dass Nutzer:innen von sozialen Netzwerken nicht zur Verwendung ihres Klarnamens verpflichtet sind. Geklagt hatten zwei Nutzer, deren Profile unter Verwendung eines Pseudonyms statt des richtigen Namens vom sozialen…
Malware

FluBot- und TeaBot-Kampagnen flammen neu auf

Seit Anfang Dezember 2021 wurden mehr als 100.000 bösartige SMS-Nachrichten zur Verbreitung des Banking-Trojaners FluBot (auch bekannt als Cabassous) abgefangen. Die neu aufflammende Angriffswelle betrifft bisher vor allem Android-Nutzer in Deutschland,…
Messenger

WhatsApp bleibt unter den Messenger-Diensten deutlich vorne

Der Messengerdienst WhatsApp bleibt mit Abstand der in Deutschland am häufigsten genutzte Online-Kommunikationsdienst. 93 Prozent aller Nutzer verwenden den zum Meta-Konzern (ehemals Facebook) gehörenden Dienst, wie eine am Donnerstag veröffentlichte,…
Meta Headquarter

Meta: EU-Wettbewerbshüter genehmigen Übernahme von Kustomer

Die Wettbewerbshüter der EU haben den vom Internet-Konzern Meta (Facebook) geplanten Kauf der Firma Kustomer unter Auflagen genehmigt. Das 2015 gegründete Start-up bietet Kundenservice-Plattformen und Chatbots an, die Kundenanfragen automatisch beantworten.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.