轉移目標!PYSA勒索團伙利用新型GoLang木馬攻擊學校及醫院
一種用Go程式語言編寫的新木馬已經從攻擊政府機構轉向醫療機構和學校。
PYSA勒索軟體團伙在使用一種名為ChaChi的遠端訪問木馬 (RAT) 來為醫療保健和教育機構的軟體系統建立後門並竊取資料,然後利用這些資料進行雙重勒索。
RAT最初被作為一種缺乏混淆、埠轉發和DNS隧道功能的工具。然而在分析之後攻擊中檢測到的樣本時,它的開發者將其升級為包含所有這些功能。在2020年第一季度首次發現攻擊後,ChaChi的程式碼在3月底4月初被更改為包括混淆和永續性,隨後ChaChi變種增加了DNS隧道和埠轉發/代理功能。
升級的ChaChi RAT用於攻擊教育及醫療行業
該惡意軟體現在能夠執行典型的RAT活動,包括建立後門和資料洩露,及透過Windows本地安全機構子系統服務進行憑證轉儲(LSASS)、網路列舉、DNS隧道、SOCKS代理功能、服務建立和跨網路的橫向移動。
根據2021年3月FBI釋出的報告顯示,這些攻擊最終導致針對英國和美國12個州的教育機構的PYSA勒索軟體活動升級。這些身份不明的網路行為者專門針對高等教育、K-12學校和神學院。
醫療機構及學校系統的脆弱性
醫療保健和教育機構經常處理大量敏感的個人和健康資訊,這導致此行業成為PYSA等勒索軟體團伙的完美受害者,勒索軟體還會在加密受害者網路之前竊取資料。
由於學校和醫院很少進行資料備份也很少打補丁的脆弱系統使得勒索軟體攻擊者更容易“得手”,而且這些行業更容易被說服支付贖金來恢復系統找回資料。
關於PYSA和ChaChi
PYSA勒索軟體於2019年10月首次被發現,當時有關公司受到新勒索軟體攻擊的報導使其開始浮出水面。該木馬是PYSA/Mespinoza的作品,這個勒索軟體團伙以竊取大量敏感資料而聞名,包括個人身份資訊(PII)、工資稅資訊和其他型別資料。
ChaChi是一種基於golang的自定義RAT惡意軟體,於2020年初由PYSA運營商開發,用於訪問和控制受感染的系統。根據Intezer說法, 在過去幾年中,基於Go的惡意軟體樣本增加了大約2000% 。
ChaChi之所以如此命名,是因為Chashell和Chisel,這是惡意軟體在攻擊期間使用的兩種現成工具,並針對這些目的進行了修改。Chashell是DNS提供商的反向shell,而Chisel是埠轉發系統。該惡意軟體還利用可公開訪問的GoLang工具gobfuscate進行混淆處理。
最早的一個ChaChi樣本在2020年3月份部署在法國地方政府的網路上,但後來勒索軟體團伙利用升級後的版本瞄準從醫療保健到私營公司等多個垂直領域。
勒索軟體重點攻擊物件發生轉變
總體而言,PYSA 專注於“大型狩獵遊戲”——選擇利潤豐厚的目標,並在需要贖金時支付大量資金。同時這些攻擊是有針對性的,通常由操作員控制,而不是自動化工具的任務。
與早期NotPetya或WannaCry等著名勒索軟體活動相比明顯不同的是,這些網路威脅者正利用企業網路和安全錯誤配置方面的先進知識,來實現橫向移動並進入受害者的環境。
企業安全如何“自救”
相較於傳統網路安全性較差的企業,進行數字化轉型的企業同樣會增加網路系統受攻擊面。為了能更靈活高效的應對這些複雜的新型安全挑戰,無論軟體開發組織還是各企業都因該提前做好安全防範措施,並部署適合自己的安全檢測工具。
根據IT治理協會ISACA在2021年的一項研究,只有32%的企業對軟體系統攻擊做好了充分準備。在發生網路攻擊事件前採取更嚴格的安全防護措施,不僅能使企業更好地防禦和響應網路攻擊,而且還能最大限度地降低相關成本。網路攻擊離不開系統漏洞, 一旦系統出現漏洞,對漏洞的檢測、定義和恢復對企業來說是一個複雜而又漫長的過程。
產生漏洞的原因大多是由於程式碼缺陷造成的,在軟體開發初期利用 靜態程式碼檢測工具及SCA等可以第一時間查詢並修復系統漏洞,
預防是比治療更實用的解決方案。為了減少企業遭受攻擊的機率,避免資料洩漏企業有必要提前做好安全防禦計劃:
1、提前對網路攻擊事件進行演習;
2、制定相關網路安全準則並加強人員安全意識;
3、警惕軟體供應鏈攻擊,留意網路攻擊者利用第三方公司作為跳板;
4、加強網路安全檢測能力及修復漏洞,對網路攻擊者行為進行檢測,包括並不限於:
(1)對整合網路和端點進行威脅檢測實時遙測並分析功能
(2)利用 靜態程式碼檢測工具及動態應用安全測試查詢系統漏洞
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2779069/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 利用Bookworm木馬攻擊泰國政府Worm
- 勒索1000萬美元,疑似LockBit勒索軟體團伙違規攻擊法國醫療機構
- 銘說 | 新型勒索軟體PYSA淺析
- 勒索軟體團伙為攻擊致歉,並免費發放解密器解密
- 騰訊安全預警:黑客團伙借SSH弱密碼爆破攻擊 日均目標近十萬黑客密碼
- 勒索軟體團伙在攻擊警察局後主動提供解密器解密
- 9月勒索病毒報告來襲:資料洩露成勒索攻擊新套路,20餘個流行勒索團伙組團出道
- Redis漏洞攻擊植入木馬逆向分析Redis
- Check Point:單反相機已成為勒索軟體攻擊目標
- 能源公司ERG遭LockBit勒索軟體團伙攻擊後出現通訊中斷
- NCC Group釋出報告稱PYSA和LockBit是11月最活躍的勒索軟體團伙
- 移花接木大法:新型“白利用”華晨遠控木馬分析
- 多個黑產團伙利用向日葵遠控軟體RCE漏洞攻擊傳播
- 從異常挖掘到CC攻擊地下駭客團伙
- 2017 年勒索軟體活躍度有所下降,攻擊目標從使用者轉向企業
- 攻擊不斷!QNAP 警告利用0day漏洞Deadbolt 勒索軟體攻擊
- 最新安全報告:單反相機已成為勒索軟體攻擊目標
- “漏洞利用之王”HolesWarm挖礦木馬新增大量攻擊模組強勢來襲Swarm
- Android裝置新型惡意軟體,融合銀行木馬、鍵盤記錄器和移動勒索軟體Android
- 因勒索軟體攻擊,芝加哥公立學校50萬學生資料遭洩露
- 盤他!近兩年 IP團伙攻擊行為大盤點
- 多國政府嚴厲打擊勒索軟體支付渠道、以色列醫院遭受重大勒索攻擊|10月18日全球網路安全熱點
- Comparitech:2020年美國學校因勒索軟體攻擊損失66億美元
- Vice Society 勒索軟體正在利用PrintNightmare漏洞進行攻擊
- 駭客動態播報 | 警惕!這種新型勒索攻擊正在興起!
- XSSI攻擊利用
- 利用msfvenom生成木馬檔案
- 伺服器被挖礦木馬攻擊該怎麼處理伺服器
- 竊取加密貨幣的新型木馬:InnfiRAT加密
- 勒索團伙追蹤:Avaddon的發展歷程
- “看門狗”團伙的遠控木馬畫皮術,360安全大腦獨家披露
- 勒索軟體攻擊影響
- 木馬學習
- Muhstik殭屍網路木馬來襲,挖礦、攻擊兩不誤
- “狼來了”!某黑產團伙套殼“大灰狼遠控”發起攻擊
- Comparitech:研究顯示2021年贖金勒索攻擊使美國學校損失35.6億美元
- 多國打擊下REvil再次關閉,勒索軟體團伙號召聯合對抗
- 進擊的“8220”!深信服捕獲8220挖礦團伙使用最新Confluence高危漏洞發起攻擊