Trojan ChaChi GoLang Baru Digunakan dalam Serangan Terhadap Sekolah AS

  • Whatsapp
Trojan ChaChi GoLang Baru Digunakan dalam Serangan Terhadap Sekolah AS

 

Trojan baru yang ditulis dalam bahasa pemrograman Go telah mengalihkan fokusnya dari lembaga pemerintah ke sekolah-sekolah di Amerika Serikat.
Malware, yang disebut ChaChi, juga digunakan sebagai komponen penting dalam memulai serangan ransomware, menurut tim peneliti dari BlackBerry Threat Research and Intelligence. ChaChi dibangun di GoLang (Go), bahasa pemrograman yang digunakan dengan aktor ancaman sebagai pengganti C dan C++ karena fleksibilitas dan kesederhanaan kompilasi kode lintas platform. Selama dua tahun terakhir, telah terjadi pertumbuhan 2.000 persen dalam jenis malware berbasis Go, menurut Intezer.
ChaChi terlihat pada paruh pertama tahun 2020 dan varian asli dari Remote Access Trojan (RAT) telah dikaitkan dengan serangan siber terhadap badan pemerintah lokal Prancis, seperti yang didokumentasikan oleh CERT France dalam laporan Indicators of Compromise (IoC) (.PDF) ; namun, variasi yang jauh lebih canggih telah muncul.
Sampel terbaru telah dikaitkan dengan serangan terhadap sekolah dan lembaga pendidikan AS yang signifikan. Dalam analisis komparatif untuk varian pertama ChaChi, yang memiliki kebingungan yang tidak memadai dan kemampuan tingkat rendah, malware sekarang dapat melakukan operasi RAT khas seperti pembuatan backdoor dan eksfiltrasi data, serta pembuangan kredensial melalui Windows Local Security Authority Subsystem Service (LSASS) , enumerasi jaringan, tunneling DNS, fungsionalitas proxy SOCKS, pembuatan layanan, dan pergerakan lateral di seluruh jaringan.
Untuk kebingungan, malware menggunakan gobfuscate, utilitas GoLang yang dapat diakses publik. ChaChi mendapatkan namanya dari dua alat siap pakai yang digunakan oleh malware selama serangan: Chashell dan Chisel.
Trojan, menurut pakar BlackBerry, adalah produk dari PYSA/Mespinoza, kelompok ancaman yang telah aktif sejak 2018. Kelompok ini terkenal karena menggunakan ekstensi untuk meluncurkan operasi ransomware.
PYSA adalah singkatan dari “Protect Your System Amigo” dan digunakan ketika data korban dienkripsi. Serangan PYSA terhadap sekolah-sekolah Inggris dan AS telah meningkat, menurut FBI. PYSA, menurut kelompok itu, menekankan pada “perburuan besar”, atau memilih target kaya dengan dompet besar yang mampu membayar uang tebusan besar. Alih-alih bekerja untuk teknologi otomatis, serangan ini ditargetkan dan sering ditangani oleh operator manusia.
Para peneliti menyatakan, “Ini adalah perubahan penting dalam operasi dari kampanye ransomware terkenal sebelumnya seperti NotPetya atau WannaCry. Para aktor ini memanfaatkan pengetahuan lanjutan tentang jaringan perusahaan dan kesalahan konfigurasi keamanan untuk mencapai gerakan lateral dan mendapatkan akses ke lingkungan korban.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *