Trellix Insights: ChaChi GoLang RAT used in Ransomware Attacks
Technical Articles ID:
KB94919
Last Modified: 2022-09-07 09:28:09 Etc/GMT
Last Modified: 2022-09-07 09:28:09 Etc/GMT
Environment
IMPORTANTE:Questo articolo della Knowledge base discute una minaccia specifica che viene rintracciata automaticamente dalla tecnologia Trellix Insights. Il contenuto è previsto per l'uso da parte di Trellix utenti Insight, ma viene fornito per la conoscenza generale a tutti i clienti. Contattaci per maggiori informazioni su Trellix approfondimenti.
Summary
The ChaChi remote access trojan (RAT) was used in multiple attacks against the government, healthcare, and educational sectors across the United States and the UK. The campaigns used obfuscation, cryptography, fallback channels, and proxies to stay under the radar. ChaChi uses components from open-source tools for DNS and HTTP tunneling to command-and-control servers. The RAT was used along with the PYSA/Mespinoza ransomware family for persistence and exfiltration.
Our Threat Research team gathers and analyzes information from multiple open and closed sources before disseminating intelligence reports. This campaign was researched by BlackBerry and shared publicly.
Come utilizzare questo articolo:
- Se è stata creata una tabella di ricerca delle minacce, utilizzare le regole contenute per cercare malware relativi a questa campagna.
- Esaminare la tabella di rilevamento dei prodotti e verificare che l'ambiente in uso utilizzi almeno la versione del contenuto specificata.
Per scaricare le versioni più recenti del contenuto, accedere alla pagina aggiornamenti della protezione . - Scorrere verso il basso e leggere la sezione "Contromisure dei prodotti" di questo articolo. Se non sono già in atto, si consiglia di implementare tali contromisure.
- Revisione
KB91836 - Countermeasures for entry vector threats . - Esaminare le regole di KB87843-contenimento dinamico delle applicazioni e le procedure consigliate.
- Consultare l'articolo KB82925 - Identifica la regola corrispondente a un evento Protezione adattiva dalle minacce e Threat Intelligence Exchange.
{ meta: description = "ChaChi RAT used in PYSA Ransomware Campaigns" author = "BlackBerry Threat Research & Intelligence" strings: // "Go build ID:" $go = { 47 6F 20 62 75 69 6C 64 20 49 44 3A } // dnsStream $dnsStream = { 64 6E 73 53 74 72 65 61 6D } // SOCKS5 $socks5 = { 53 4F 43 4B 53 35 } // chisel $chisel = { 63 68 69 73 65 6C } condition: // MZ signature at offset 0 uint16(0) == 0x5A4D and // PE signature at offset stored in MZ header at 0x3C uint32(uint32(0x3C)) == 0x00004550 and // ChaChi Strings all of them } |
This Knowledge Base article discusses a specific threat that's being tracked. The list of IOCs will change over time; check Trellix Insights for the latest IOCs.
Campaign IOC
Type | Value |
Minimum Content Versions
Content Type | Version |
Detection Summary
IOC | Scanner | Detection |
IOC | Scanner | Detection |
IOC | Scanner | Detection |
IOC | Scanner | Detection |
IOC | Scanner | Detection |
IOC | Scanner | Detection |
IOC | Scanner | Detection |
IOC | Scanner | Detection |
IOC | Scanner | Detection |
IOC | Scanner | Detection |
IOC | Scanner | Detection |
IOC | Scanner | Detection |
IOC | Scanner | Detection |
IOC | Scanner | Detection |
IOC | Scanner | Detection |
IOC | Scanner | Detection |
IOC | Scanner | Detection |
IOC | Scanner | Detection |
IOC | Scanner | Detection |
IOC | Scanner | Detection |
IOC | Scanner | Detection |
IOC | Scanner | Detection |
IOC | Scanner | Detection |
IOC | Scanner | Detection |
IOC | Scanner | Detection |
IOC | Scanner | Detection |
IOC | Scanner | Detection |
Minimum set of Manual Rules to improve protection to block this campaign:
IMPORTANTE: quando si attivano nuove regole e firme, attenersi sempre alle procedure consigliate.
Quando si implementano nuove regole o firme, impostarle sempre prima su Segnala e verificare gli avvisi generati. Risolvere eventuali problemi che si verificano e quindi impostare le regole su Blocca. Questo passaggio riduce il numero di falsi positivi e consente di perfezionare la configurazione.
Le procedure consigliate per le regole di contenimento dinamico delle applicazioni di Endpoint Security sono disponibili nell'articolo KB87843.
Endpoint Security - Advanced Threat Protection:
Endpoint Security - Exploit Prevention:
Aggressive set of Manual Rules to improve protection to block this campaign:
IMPORTANTE: quando si attivano nuove regole e firme, attenersi sempre alle procedure consigliate.
Quando si implementano nuove regole o firme, impostarle sempre prima su Segnala e verificare gli avvisi generati. Risolvere eventuali problemi che si verificano e quindi impostare le regole su Blocca. Questo passaggio riduce il numero di falsi positivi e consente di perfezionare la configurazione.
Le procedure consigliate per le regole di contenimento dinamico delle applicazioni di Endpoint Security sono disponibili nell'articolo KB87843.
VirusScan Enterprise - Access Protection Rules:
Prevent creation of new executable files in the Windows folder
Host Intrusion Prevention:
Rule ID: 111 Event Log Registry Setting Modified
Rule ID: 1020 Windows Agent Shielding - File Access
Rule ID: 2806 Attempt to create a hardlink to a file
Rule ID: 1148 CMD Tool Access by a Network Aware Application
Rule ID: 412 Double File Extension Execution
Rule ID: 6010 Generic Application Hooking Protection