Новости Днепра


Новости Днепра и Украины

Авторы Windows-трояна ChaChi перенацелили его на Linux

14 сентября
17:04 2021

Редким примером того, как вредоносное ПО, изначально созданное для Windows, впоследствии было адаптировано к Linux, стала обнаруженная на просторах Сети Linux-версия трояна удалённого доступа ChaChi.

Эта программа написана на разработанном Google языке GoLang, что выделяет её на фоне типичного вредоносного ПО, которое, как правило компилируется в C или C++. Из-за этого, лишь немногие антивирусные продукты способны обнаруживать ChaChi.

Она впервые попала в поле зрения экспертов кибербезопасности в прошлом году и использовалась группой кибервымогателей PYSA (также известна под именем Mespinoza) в атаках на школы США.

ChaChi, это сокращение от ChaShell (имя провайдера «обратной оболочки через DNS») и Chisel (инструмент переадресации портов).

Linux-вариант ChaChi обнаружили исследователи из фирмы Lacework. Они также отметили, что в отличие от традиционной инфраструктуры ИТ, базирующейся главным образом на Windows, облачная инфраструктура на 80 и более процентов основана на Linux. Таким образом, открытие портированного на Linux трояна ясно сигнализирует о том, что банды ransomware и другие киберпреступники переносят внимание на облачные цели.

Linux-версия ChaChi имеет ту же базовую функциональность, что и исходный троян для Windows, отличается большим размером файла (более 8 МБ) и использует обфускатор кода под названием Gobfuscate.

Вредоносная программа использует специальные серверы имен, одновременно выступающие C&C-центрами, для поддержки протокола туннелирования DNS. Интересно, что IP-адреса двух доменов разрешаются как принадлежащие хостингу Global Accelerator компании AWS, хотя могут быть связаны с доменами, регистрируемыми фирмой Namecheap.

«Многие злоумышленники нацеливаются на несколько архитектур, чтобы увеличить свою базу операций, это может быть мотивом здесь и может отражать эволюцию деятельности PYSA, — заключают представители Lacework. — Хотя программы-вымогатели редко атакуют серверы Linux и облачную инфраструктуру, такая возможность по-прежнему представляет реальную угрозу для бизнес-операций и данных клиентов».

Источник: ko.com.ua

Статьи по теме

0 Комментариев

Хотите быть первым?

Еще никто не комментировал данный материал.

Написать комментарий

Комментировать