介绍--Chae$4
随着网络威胁的世界以惊人的速度发展,保持领先于这些数字危险对企业来说变得越来越关键。2023年1月,Morphisec发现了一个令人震惊的趋势,许多客户,主要是物流和金融部门的客户,受到了Chaes恶意软件的新的高级变体的攻击。据观察,从2023年4月到6月,威胁的复杂程度在多次迭代中增加。
由于Morphisec的尖端AMTD(自动移动目标防御)技术,这些攻击中的许多都在造成重大破坏之前被阻拦。
这不是普通的Chaes变种。它经历了重大的改革:从完全用Python语言重写,这导致传统防御系统的检测率较低,到全面重新设计和增强的通信协议。此外,它现在还拥有一套新模块,进一步增强了它的恶意能力。
该恶意软件的目标不是随机的。它特别关注知名平台和银行的客户,如Mercado Libre、Mercado Pago、WhatsApp Web、Itau Bank、Caixa Bank,甚至MetaMask.。此外,许多内容管理(CMS)服务也未能幸免,包括WordPress、Joomla、Drupal和Magento。值得注意的是,Chaes恶意软件在网络安全领域并不是全新的。它的首次亮相可以追溯到2020年11月,当时Cybereason的研究人员强调了它的业务主要针对拉丁美洲的电子商务客户。
新的Chaes变体已被Morphisec命名为“Chae$4”(Chae$4),因为它是第四个主要变体,而且核心模块中的调试打印显示“Chae$4”。
Chaes历史记录和概述
2020年11月,Cybereason发布了对Chaes恶意软件的初步研究。该报告强调,该恶意软件至少自2020年年中以来一直活跃,主要针对拉丁美洲的电子商务客户,特别是巴西。
该恶意软件主要针对MercadoLibre用户,其特点是多阶段感染过程,能够窃取与MercadoLibre相关的敏感和财务数据,以及利用多种编程语言和LOLbins。
到2022年1月,Avast发表了一项随后的研究,表明Chaes的活动在2021年第四季度激增。Avast深入研究了该恶意软件的不同组件,揭示了其最新更新:完善的感染链、增强的与C2的通信、新集成的模块(他们称之为“扩展”),以及关于每个感染阶段和模块的细粒度细节。
几周后,也就是2022年2月,这位威胁人员发布了对阿瓦斯特研究的回应,如下图所示:
事实证明,确定威胁参与者的性质--无论是个人还是团体--是难以捉摸的。红色的高亮部分暗示了小组的可能性,而绿色的高亮部分反映了个人的注释。鉴于这位人员身份的模棱两可,因此为这位威胁性人员选择了名为《路西法》的片名。这一决定受到博客名称和标识符“Lucifer6”的影响,该标识符用于加密与C2服务器的通信。
总结了一系列的发展,2022年12月标志着另一个关键时刻,暴风雨的研究小组SideChannel公布了进一步的见解,介绍了该恶意软件采用WMI来收集系统数据。
正在升级到版本4
这些先前提到的研究出版物涵盖了CHAES恶意软件的版本1-3。Chaes的这一最新版本推出了重大的转换和增强,并被Morphisec称为版本4。
重大变化包括:
-改进的代码体系结构和改进的模块化。
-增加了加密层和增强的隐形功能。
-主要转移到经历解密和动态内存中执行的Python。
-用一种定制的方法来监控和拦截Chromium浏览器的活动,以取代Puppeteer。
-针对凭据窃取的扩展服务目录。
-采用WebSockets进行模块与C2服务器之间的主要通信。
-动态解析C2服务器地址的DGA实现。
鉴于本评论内容的深度和广度,分析的结构旨在迎合广泛的读者,从SOC和CISO到检测工程师、研究人员和安全爱好者。
分析首先概述了感染链,这保持了相对一致,然后对恶意软件的每个模块进行了简洁的总结。后续各节将更深入地探讨每个阶段/模块的具体内容。
由于恶意软件在各个阶段/模块中使用重复机制,因此我们指定了一个标题为“附加组件”的部分。在这里,读者可以找到整个帖子中引用的每种机制的复杂细节。
这种结构化的方法确保读者可以快速收集恶意软件的概述,或者沉浸在其复杂的组件中。
注:由于以前的分析和研究笔记(前面提到)在交付方法上没有重大更新,本次审查将集中在最近的发展。对于那些不熟悉感染方法的人,请参考参考研究。
感染是通过执行恶意的、几乎未被检测到的MSI安装程序开始的,该安装程序通常伪装成Java JDE安装程序或防病毒软件安装程序。执行恶意安装程序将导致恶意软件在
%APPDATA%/
该文件夹包含Python库、具有不同名称的Python可执行文件、加密文件和稍后将使用的Python脚本。接下来,恶意软件解包核心模块,我们将其称为ChaesCore,该模块负责使用计划任务设置持久性并迁移到目标进程。在初始化阶段之后,ChaesCore开始其恶意活动并与C2地址通信,以便下载外部模块并将其加载到受感染的系统中。
在整个调查过程中,确定了七个不同的模块,它们可以在不更改核心功能的情况下独立更新:
1.init模块-攻击者发送的第一个模块用作身份识别/新受害者注册。它收集有关受感染系统的大量数据。
2.在线模块-将在线消息发送回攻击者。就像一个信标模块,监控哪些受害者仍在活动。
3.Chronod模块-一个凭证窃取和剪贴器。此模块负责拦截浏览器活动以窃取用户的信息,如登录过程中发送的凭据、与银行网站通信时的银行信息,并具有尝试窃取BTC、ETH和PIX传输的剪辑功能。
4.Appita模块-在结构和用途上与Chronod模块非常相似,但看起来它专门针对Itau银行的应用程序(itauplicativo.exe)。
5.Chrautos模块--在Chronod和Appita模块的基础上改进的模块。它提供了更好的代码体系结构,能够轻松扩展模块完成的目标和任务。目前的版本侧重于银行和WhatsApp数据,但仍在开发中。
6.窃取模块-负责从基于Chromium的浏览器窃取数据。被盗数据包括登录数据、信用卡、Cookie和自动填充。
7.文件上传模块-能够从受感染的系统搜索文件并将文件上传到C2服务器。在当前版本中,该模块只上传与MetaMASK的Chrome扩展相关的数据。
大多数模块在以前的版本中已经以某种形式存在,但这个版本为那些具有改进的功能、不同的代码库和实现其目标的独特技术的模块提供了重新实现。
另一件需要注意的事情是威胁参与者对加密货币的浓厚兴趣,这由使用剪贴器窃取BTC和ETH以及窃取MetaMask凭据和文件的文件上传模块来表示。
了解虹科网络安全更多技术干货/应用案例,欢迎前往【虹科网络安全】官方网站:虹科电子|USB数据加密与安全|网络流量可视化|网络安全|网络流量监控|PTP时间同步
联系我们
扫码加入虹科网络安全交流群或微信公众号,及时获取更多技术干货/应用案例。