PYSA Ransomware Gang nimmt Linux ins Fadenkreuz

Kürzlich wurde auf VirusTotal die erste Linux-Version von ChaChi entdeckt, einem Golang-basierten DNS-Tunnel-Backdoor. Die Malware verwendet Domains, die mit Ransomware von PYSA, auch bekannt als Menipoza Ransomware Gang, in Verbindung stehen.

Die ChaChi-Infrastruktur von PYSA scheint in den letzten Wochen weitgehend inaktiv gewesen zu sein, da sie in den meisten Fällen geparkt wurde und offenbar nicht betriebsbereit ist. Lacework geht davon aus, dass es sich bei diesem Beispiel um einen PYSA-Akteur handelt, der mit dem ChaChi-Backdoor auf Linux-Hosts abzielt.
 

Hintergrund: Risiken für Cloud-Netzwerke wachsen

Ransomware-Angreifer entwickeln ihre Kampagnen kontinuierlich weiter und nehmen zunehmend Linux und Cloud-Netzwerke ins Fadenkreuz. In den letzten Wochen wurden beispielsweise die Ransomware-Gruppen BlackMatter, HelloKitty und REvil erstmalig dabei beobachtet, wie sie über ESXi-Server mit ELF-Verschlüsselungsprogrammen auf Linux-Hosts zugegriffen haben. Die Verlagerung von Ransomware auf Linux ist ein wichtiger Trend, den man genau im Auge behalten muss.
Ransomware ist äußerst lukrativ. Akteure suchen stetig nach Möglichkeiten, ihren Profit zu steigern. Linux-Server und Cloud-Infrastrukturen betreffende Ransomware-Aktivitäten sind zwar nach wie vor selten, stellen aber eine echte Bedrohung für operative Prozesse und Kundendaten dar. Indikatoren für diese Aktivitäten sind auf Github von Lacework-Labs verfügbar.

Analyse

Im August 2021 identifizierte Lacework Labs eine Linux-Variante (MD5: 14abd57e8eb06191f12c0d84f9c1470b) von ChaChi. Bei ChaChi handelt es sich um eine angepasste Variante eines auf Open-Source-Golang basierenden RAT, der DNS-Tunneling für C2-Kommunikation einsetzt. Das Exemplar wurde mit Domains konfiguriert, die von Palo Alto Network im Juli gemeldet wurden:

• sbvjhs.xyz
• sbvjhs.club
• firefox-search.xyz

Obwohl dieser Schädling noch recht neu ist, wurde er bereits am 14. Juni 2021 auf VirusTotal hochgeladen und hatte zu diesem Zeitpunkt nur 1/61 AV-Erkennungen. Nach unserem Tweet Ende August und zum Zeitpunkt der Artikelerstellung liegt die Erkennungsrate bei 20/61. Die Linux-Variante weist die gleichen Merkmale wie ihr Windows-Pendant auf, insbesondere die Kernfunktionalität, die Dateigröße (>8 MB) und die Verwendung des Golang-Obfuskators Gobfuscate. Ein Unterscheidungsmerkmal der Linux-Version waren die vorhandenen Debug-Ausgaben, die Datetime-Daten enthielten.

ChaChi nutzt benutzerdefinierte Nameserver, die als C2-Server funkgieren, um das DNS-Tunneling-Protokoll zu unterstützen. Daher lassen sich die C2-Hosts durch eine passive DNS-Analyse der Nameserver-Domänen identifizieren. Die Analyse zeigt, dass der Großteil der ChaChi-Infrastruktur seit dem 23./24. Juni 2021 geparkt oder offline ist. Die beiden Ausnahmen scheinen die Domänen ns1.ccenter.tech und ns2.spm.best zu sein.

Zum Zeitpunkt dieser Meldung wurden zwei Domains der Linux-Variante (sbvjhs.xyz und sbvjhs.club) auf die Amazon IP-Adresse 99.83.154.118 aufgelöst. Diese IP-Adresse ist ein AWS Global Accelerator-Host und hat mehrere AV-Erkennungen auf VirusTotal. Die Analyse von Lacework zeigt jedoch, dass diese Adresse höchstwahrscheinlich von Namecheap für Domain-Parking-Zwecke verwendet wird und nicht als ChaChi IOC genutzt werden sollte.

www.lacework.com