轉移目標!PYSA勒索團伙利用新型GoLang木馬攻擊學校及醫院

一種用Go程式語言編寫的新木馬已經從攻擊政府機構轉向醫療機構和學校。

PYSA勒索軟體團伙在使用一種名為ChaChi的遠端訪問木馬 (RAT) 來為醫療保健和教育機構的軟體系統建立後門並竊取資料，然後利用這些資料進行雙重勒索。

RAT最初被作為一種缺乏混淆、埠轉發和DNS隧道功能的工具。然而在分析之後攻擊中檢測到的樣本時，它的開發者將其升級為包含所有這些功能。在2020年第一季度首次發現攻擊後，ChaChi的程式碼在3月底4月初被更改為包括混淆和永續性，隨後ChaChi變種增加了DNS隧道和埠轉發/代理功能。

升級的ChaChi RAT用於攻擊教育及醫療行業

該惡意軟體現在能夠執行典型的RAT活動，包括建立後門和資料洩露，及透過Windows本地安全機構子系統服務進行憑證轉儲(LSASS)、網路列舉、DNS隧道、SOCKS代理功能、服務建立和跨網路的橫向移動。

根據2021年3月FBI釋出的報告顯示，這些攻擊最終導致針對英國和美國12個州的教育機構的PYSA勒索軟體活動升級。這些身份不明的網路行為者專門針對高等教育、K-12學校和神學院。

醫療機構及學校系統的脆弱性

醫療保健和教育機構經常處理大量敏感的個人和健康資訊，這導致此行業成為PYSA等勒索軟體團伙的完美受害者，勒索軟體還會在加密受害者網路之前竊取資料。

由於學校和醫院很少進行資料備份也很少打補丁的脆弱系統使得勒索軟體攻擊者更容易“得手”，而且這些行業更容易被說服支付贖金來恢復系統找回資料。

關於PYSA和ChaChi

PYSA勒索軟體於2019年10月首次被發現，當時有關公司受到新勒索軟體攻擊的報導使其開始浮出水面。該木馬是PYSA/Mespinoza的作品，這個勒索軟體團伙以竊取大量敏感資料而聞名，包括個人身份資訊(PII)、工資稅資訊和其他型別資料。

ChaChi是一種基於golang的自定義RAT惡意軟體，於2020年初由PYSA運營商開發，用於訪問和控制受感染的系統。根據Intezer說法， 在過去幾年中，基於Go的惡意軟體樣本增加了大約2000% 。

ChaChi之所以如此命名，是因為Chashell和Chisel，這是惡意軟體在攻擊期間使用的兩種現成工具，並針對這些目的進行了修改。Chashell是DNS提供商的反向shell，而Chisel是埠轉發系統。該惡意軟體還利用可公開訪問的GoLang工具gobfuscate進行混淆處理。

最早的一個ChaChi樣本在2020年3月份部署在法國地方政府的網路上，但後來勒索軟體團伙利用升級後的版本瞄準從醫療保健到私營公司等多個垂直領域。

勒索軟體重點攻擊物件發生轉變

總體而言，PYSA 專注於“大型狩獵遊戲”——選擇利潤豐厚的目標，並在需要贖金時支付大量資金。同時這些攻擊是有針對性的，通常由操作員控制，而不是自動化工具的任務。

與早期NotPetya或WannaCry等著名勒索軟體活動相比明顯不同的是，這些網路威脅者正利用企業網路和安全錯誤配置方面的先進知識，來實現橫向移動並進入受害者的環境。

企業安全如何“自救”

相較於傳統網路安全性較差的企業，進行數字化轉型的企業同樣會增加網路系統受攻擊面。為了能更靈活高效的應對這些複雜的新型安全挑戰，無論軟體開發組織還是各企業都因該提前做好安全防範措施，並部署適合自己的安全檢測工具。

根據IT治理協會ISACA在2021年的一項研究，只有32%的企業對軟體系統攻擊做好了充分準備。在發生網路攻擊事件前採取更嚴格的安全防護措施，不僅能使企業更好地防禦和響應網路攻擊，而且還能最大限度地降低相關成本。網路攻擊離不開系統漏洞， 一旦系統出現漏洞，對漏洞的檢測、定義和恢復對企業來說是一個複雜而又漫長的過程。

產生漏洞的原因大多是由於程式碼缺陷造成的，在軟體開發初期利用 靜態程式碼檢測工具及SCA等可以第一時間查詢並修復系統漏洞，

預防是比治療更實用的解決方案。為了減少企業遭受攻擊的機率，避免資料洩漏企業有必要提前做好安全防禦計劃：

1、提前對網路攻擊事件進行演習;

2、制定相關網路安全準則並加強人員安全意識;

3、警惕軟體供應鏈攻擊，留意網路攻擊者利用第三方公司作為跳板;

4、加強網路安全檢測能力及修復漏洞，對網路攻擊者行為進行檢測，包括並不限於：

(1)對整合網路和端點進行威脅檢測實時遙測並分析功能

(2)利用 靜態程式碼檢測工具及動態應用安全測試查詢系統漏洞