{"id":255100,"date":"2021-06-24T00:40:56","date_gmt":"2021-06-23T22:40:56","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=255100"},"modified":"2021-06-24T00:48:57","modified_gmt":"2021-06-23T22:48:57","slug":"blackberry-entdeckt-remote-access-trojan-rat-chachi","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/06\/24\/blackberry-entdeckt-remote-access-trojan-rat-chachi\/","title":{"rendered":"Blackberry entdeckt Remote Access Trojan (RAT) ChaChi"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/06\/24\/blackberry-entdeckt-remote-access-trojan-rat-chachi\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Sicherheitsexperten des Threat Research and Intelligence Team von <a href=\"https:\/\/www.blackberry.com\/de\/de\" rel=\"nofollow\">BlackBerry<\/a>, haben den Remote Access Trojan (RAT) ChaChi entdeckt. Der auf Windows-Systeme spezialisierte Trojaner wurde von den Hackern der PYSA-Ransomware entwickelt und greift Ziele weltweit an. In den vergangenen Monaten wurden gezielt Bildungseinrichtungen angegriffen. Die Hacker, die mit ChaChi seit Sommer 2020 weltweit Ziele attackieren, agieren von IP-Adressen aus Deutschland und Rum\u00e4nien aus.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/38e73f82d5ce4a15be5b0a859f4b361b\" alt=\"\" width=\"1\" height=\"1\" \/>ChaChi ist ein speziell entwickelter Trojaner, der in der recht jungen Programmiersprache \u201eGo\", auch bekannt als \u201eGolang\", geschrieben wurde. Dies erschwert die Analyse der Schadsoftware, da viele Kernwerkzeuge f\u00fcr den Analyseprozess noch entwickelt werden. Der Name ChaChi stammt von zwei Schl\u00fcsselkomponenten des RAT, Chashell und Chisel. Dies sind Werkzeuge, die von den Malware-Betreibern verwendet werden, um ihre beabsichtigten Aktionen durchzuf\u00fchren, anstatt ma\u00dfgeschneiderte Tools zu erstellen, um diese Funktionalit\u00e4t zu erreichen.<\/p>\n<p>Die ersten Versionen von PYSA sind seit Ende 2018 im Umlauf. Der Name dieser Bedrohung stammt von der Dateierweiterung (.PYSA), die von fr\u00fchen Varianten verwendet wurde, um verschl\u00fcsselte Dateien umzubenennen, und von der L\u00f6segeldforderung, die die Opfer davor warnte, \"Ihr System zu sch\u00fctzen, Amigo\".<\/p>\n<p>Die BlackBerry-Experten haben zahlreiche Untersuchungen durchgef\u00fchrt und auf Vorf\u00e4lle der PYSA-Ransomware reagiert, bei denen auch ChaChi zum Einsatz kamen. Zu den wichtigsten Erkenntnissen der PYSA-Kampagne geh\u00f6ren:<\/p>\n<ul>\n<li>Ausheblung der Verteidigung: PowerShell-Skripte zum Deinstallieren\/Stoppen\/Deaktivieren von Antivirussoftware und Firewall.<\/li>\n<li>Zugriff auf Anmeldeinformationen: Dumping von Anmeldeinformationen aus LSASS ohne Mimikatz (comsvcs.dll).<\/li>\n<li>Erkennung: Interne Netzwerkaufz\u00e4hlung mit Advanced Port Scanner.<\/li>\n<li>Persistenz: ChaChi wird als Dienst installiert.<\/li>\n<li>Seitliche Verschiebung: RDP und PsExec.<\/li>\n<li>Exfiltration: Wahrscheinlich \u00fcber ChaChi-Tunnel (noch nicht beobachtet).<\/li>\n<li>Befehl und Kontrolle (C2): ChaChi RAT.<\/li>\n<\/ul>\n<p>Weitere Informationen finden in <a href=\"https:\/\/blogs.blackberry.com\/en\/2021\/06\/pysa-loves-chachi-a-new-golang-rat\">diesem BlackBerry-Artikel<\/a> der Sicherheitsforscher.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Sicherheitsexperten des Threat Research and Intelligence Team von BlackBerry, haben den Remote Access Trojan (RAT) ChaChi entdeckt. Der auf Windows-Systeme spezialisierte Trojaner wurde von den Hackern der PYSA-Ransomware entwickelt und greift Ziele weltweit an. In den vergangenen Monaten wurden gezielt &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/06\/24\/blackberry-entdeckt-remote-access-trojan-rat-chachi\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-255100","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255100","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=255100"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255100\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=255100"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=255100"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=255100"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}