ChaChiトロイの木馬

ChaChiは、マルウェア研究者によって発見された新しいRAT（リモートアクセストロイの木馬）の脅威です。マルウェアは完全にGoLangで記述されています。これは、よりあいまいで検出が難しい言語を求めてCおよびC ++言語からの顕著な変化を示すサイバー犯罪者の間の最近の傾向です。 GoLangは、この言語を使用するマルウェアの脅威の数がわずか2、3年で約2,000％増加するため、推奨される選択肢のようです。

脅威の名前は、ChashellとChiselの2つの既製のツールに由来しています。 ChaChaiマルウェアは、操作の一部として2つのツールの修正バージョンを使用します。 ChashellはDNSプロバイダー上のリバースシェルとして説明され、Chiselはポート転送システムとして機能します。

ChaChiトロイの木馬の進化

2020年の前半に検出された脅威の最初のサンプルは、ほとんど洗練されておらず、基本的な難読化があり、機能が制限されていました。当時、ChaChiは、フランスの地方自治体に対する一連の攻撃に利用されていました。しかし、それ以来、脅威は急速に発展し、現在のバージョンははるかに脅威になっています。

ChaChiは現在、完全なRAT機能を備えています。侵害されたシステムへのバックドアチャネルの確立、機密データの漏えい、Windowsローカルセキュリティ機関サブシステムサービス（LSASS）を介した資格情報へのアクセス、被害者のネットワーク内での横方向の移動が可能です。難読化の場合、脅威は、GoLang難読化の一般的な選択肢である公開されているツールgobfuscateを使用します。

RATの目標も大幅に変更されました。 ChaChiは現在、米国の大規模な学校や教育機関を対象としたランサムウェアの運用に使用されています。

新しい攻撃動作は、ChaChiがPYSA / Mespinozaハッカーグループによって開発されたという推測を裏付けています。 PYSAはいくつかのランサムウェアキャンペーンに関与しており、FBIは以前に英国と米国にある学校に対するグループの攻撃の潜在的な増加について警告を発しました。