加入星計(jì)劃,您可以享受以下權(quán)益:

  • 創(chuàng)作內(nèi)容快速變現(xiàn)
  • 行業(yè)影響力擴(kuò)散
  • 作品版權(quán)保護(hù)
  • 300W+ 專業(yè)用戶
  • 1.5W+ 優(yōu)質(zhì)創(chuàng)作者
  • 5000+ 長(zhǎng)期合作伙伴
立即加入

虹科分享 | Chae$4:針對(duì)金融和物流客戶的新Chaes惡意軟件變體|自動(dòng)移動(dòng)目標(biāo)防御

2023/09/18
4296
服務(wù)支持:
技術(shù)交流群

完成交易后在“購(gòu)買成功”頁(yè)面掃碼入群,即可與技術(shù)大咖們分享疑惑和經(jīng)驗(yàn)、收獲成長(zhǎng)和認(rèn)同、領(lǐng)取優(yōu)惠和紅包等。

虛擬商品不可退

當(dāng)前內(nèi)容為數(shù)字版權(quán)作品,購(gòu)買后不支持退換且無(wú)法轉(zhuǎn)移使用。

加入交流群
掃碼加入
獲取工程師必備禮包
參與熱點(diǎn)資訊討論
放大
實(shí)物圖
相關(guān)方案
  • 方案介紹
    • 介紹--Chae$4
  • 相關(guān)文件
  • 推薦器件
  • 相關(guān)推薦
  • 電子產(chǎn)業(yè)圖譜
申請(qǐng)入駐 產(chǎn)業(yè)圖譜

介紹--Chae$4

隨著網(wǎng)絡(luò)威脅的世界以驚人的速度發(fā)展,保持領(lǐng)先于這些數(shù)字危險(xiǎn)對(duì)企業(yè)來(lái)說(shuō)變得越來(lái)越關(guān)鍵。2023年1月,Morphisec發(fā)現(xiàn)了一個(gè)令人震驚的趨勢(shì),許多客戶,主要是物流和金融部門的客戶,受到了Chaes惡意軟件的新的高級(jí)變體的攻擊。據(jù)觀察,從2023年4月到6月,威脅的復(fù)雜程度在多次迭代中增加。

由于Morphisec的尖端AMTD(自動(dòng)移動(dòng)目標(biāo)防御)技術(shù),這些攻擊中的許多都在造成重大破壞之前被阻攔。

這不是普通的Chaes變種。它經(jīng)歷了重大的改革:從完全用Python語(yǔ)言重寫(xiě),這導(dǎo)致傳統(tǒng)防御系統(tǒng)的檢測(cè)率較低,到全面重新設(shè)計(jì)和增強(qiáng)的通信協(xié)議。此外,它現(xiàn)在還擁有一套新模塊,進(jìn)一步增強(qiáng)了它的惡意能力。

該惡意軟件的目標(biāo)不是隨機(jī)的。它特別關(guān)注知名平臺(tái)和銀行的客戶,如Mercado Libre、Mercado Pago、WhatsApp Web、Itau Bank、Caixa Bank,甚至MetaMask.。此外,許多內(nèi)容管理(CMS)服務(wù)也未能幸免,包括WordPress、Joomla、Drupal和Magento。值得注意的是,Chaes惡意軟件在網(wǎng)絡(luò)安全領(lǐng)域并不是全新的。它的首次亮相可以追溯到2020年11月,當(dāng)時(shí)Cybereason的研究人員強(qiáng)調(diào)了它的業(yè)務(wù)主要針對(duì)拉丁美洲的電子商務(wù)客戶。

新的Chaes變體已被Morphisec命名為“Chae$4”(Chae$4),因?yàn)樗堑谒膫€(gè)主要變體,而且核心模塊中的調(diào)試打印顯示“Chae$4”。

Chaes歷史記錄和概述

2020年11月,Cybereason發(fā)布了對(duì)Chaes惡意軟件的初步研究。該報(bào)告強(qiáng)調(diào),該惡意軟件至少自2020年年中以來(lái)一直活躍,主要針對(duì)拉丁美洲的電子商務(wù)客戶,特別是巴西。

該惡意軟件主要針對(duì)MercadoLibre用戶,其特點(diǎn)是多階段感染過(guò)程,能夠竊取與MercadoLibre相關(guān)的敏感和財(cái)務(wù)數(shù)據(jù),以及利用多種編程語(yǔ)言和LOLbins。

到2022年1月,Avast發(fā)表了一項(xiàng)隨后的研究,表明Chaes的活動(dòng)在2021年第四季度激增。Avast深入研究了該惡意軟件的不同組件,揭示了其最新更新:完善的感染鏈、增強(qiáng)的與C2的通信、新集成的模塊(他們稱之為“擴(kuò)展”),以及關(guān)于每個(gè)感染階段和模塊的細(xì)粒度細(xì)節(jié)。

幾周后,也就是2022年2月,這位威脅人員發(fā)布了對(duì)阿瓦斯特研究的回應(yīng),如下圖所示:

事實(shí)證明,確定威脅參與者的性質(zhì)--無(wú)論是個(gè)人還是團(tuán)體--是難以捉摸的。紅色的高亮部分暗示了小組的可能性,而綠色的高亮部分反映了個(gè)人的注釋。鑒于這位人員身份的模棱兩可,因此為這位威脅性人員選擇了名為《路西法》的片名。這一決定受到博客名稱和標(biāo)識(shí)符“Lucifer6”的影響,該標(biāo)識(shí)符用于加密與C2服務(wù)器的通信。

總結(jié)了一系列的發(fā)展,2022年12月標(biāo)志著另一個(gè)關(guān)鍵時(shí)刻,暴風(fēng)雨的研究小組SideChannel公布了進(jìn)一步的見(jiàn)解,介紹了該惡意軟件采用WMI來(lái)收集系統(tǒng)數(shù)據(jù)。

正在升級(jí)到版本4

這些先前提到的研究出版物涵蓋了CHAES惡意軟件的版本1-3。Chaes的這一最新版本推出了重大的轉(zhuǎn)換和增強(qiáng),并被Morphisec稱為版本4。

重大變化包括:

  • 改進(jìn)的代碼體系結(jié)構(gòu)和改進(jìn)的模塊化。
  • 增加了加密層和增強(qiáng)的隱形功能。
  • 主要轉(zhuǎn)移到經(jīng)歷解密和動(dòng)態(tài)內(nèi)存中執(zhí)行的Python。
  • 用一種定制的方法來(lái)監(jiān)控和攔截Chromium瀏覽器的活動(dòng),以取代Puppeteer。
  • 針對(duì)憑據(jù)竊取的擴(kuò)展服務(wù)目錄。
  • 采用WebSockets進(jìn)行模塊與C2服務(wù)器之間的主要通信。
  • 動(dòng)態(tài)解析C2服務(wù)器地址的DGA實(shí)現(xiàn)。

鑒于本評(píng)論內(nèi)容的深度和廣度,分析的結(jié)構(gòu)旨在迎合廣泛的讀者,從SOC和CISO到檢測(cè)工程師、研究人員和安全愛(ài)好者。

分析首先概述了感染鏈,這保持了相對(duì)一致,然后對(duì)惡意軟件的每個(gè)模塊進(jìn)行了簡(jiǎn)潔的總結(jié)。后續(xù)各節(jié)將更深入地探討每個(gè)階段/模塊的具體內(nèi)容。

由于惡意軟件在各個(gè)階段/模塊中使用重復(fù)機(jī)制,因此我們指定了一個(gè)標(biāo)題為“附加組件”的部分。在這里,讀者可以找到整個(gè)帖子中引用的每種機(jī)制的復(fù)雜細(xì)節(jié)。

這種結(jié)構(gòu)化的方法確保讀者可以快速收集惡意軟件的概述,或者沉浸在其復(fù)雜的組件中。

注:由于以前的分析和研究筆記(前面提到)在交付方法上沒(méi)有重大更新,本次審查將集中在最近的發(fā)展。對(duì)于那些不熟悉感染方法的人,請(qǐng)參考參考研究。

感染是通過(guò)執(zhí)行惡意的、幾乎未被檢測(cè)到的MSI安裝程序開(kāi)始的,該安裝程序通常偽裝成Java JDE安裝程序或防病毒軟件安裝程序。執(zhí)行惡意安裝程序?qū)?dǎo)致惡意軟件在
%APPDATA%/<PROTUUESE_NAME>文件夾下的專用硬編碼文件夾中部署和下載所需文件。

該文件夾包含Python庫(kù)、具有不同名稱的Python可執(zhí)行文件、加密文件和稍后將使用的Python腳本。接下來(lái),惡意軟件解包核心模塊,我們將其稱為ChaesCore,該模塊負(fù)責(zé)使用計(jì)劃任務(wù)設(shè)置持久性并遷移到目標(biāo)進(jìn)程。在初始化階段之后,ChaesCore開(kāi)始其惡意活動(dòng)并與C2地址通信,以便下載外部模塊并將其加載到受感染的系統(tǒng)中。

在整個(gè)調(diào)查過(guò)程中,確定了七個(gè)不同的模塊,它們可以在不更改核心功能的情況下獨(dú)立更新:

1.init模塊-攻擊者發(fā)送的第一個(gè)模塊用作身份識(shí)別/新受害者注冊(cè)。它收集有關(guān)受感染系統(tǒng)的大量數(shù)據(jù)。

2.在線模塊-將在線消息發(fā)送回攻擊者。就像一個(gè)信標(biāo)模塊,監(jiān)控哪些受害者仍在活動(dòng)。

3.Chronod模塊-一個(gè)憑證竊取和剪貼器。此模塊負(fù)責(zé)攔截瀏覽器活動(dòng)以竊取用戶的信息,如登錄過(guò)程中發(fā)送的憑據(jù)、與銀行網(wǎng)站通信時(shí)的銀行信息,并具有嘗試竊取BTC、ETH和PIX傳輸?shù)募糨嫻δ堋?/p>

4.Appita模塊-在結(jié)構(gòu)和用途上與Chronod模塊非常相似,但看起來(lái)它專門針對(duì)Itau銀行的應(yīng)用程序(itauplicativo.exe)。

5.Chrautos模塊--在Chronod和Appita模塊的基礎(chǔ)上改進(jìn)的模塊。它提供了更好的代碼體系結(jié)構(gòu),能夠輕松擴(kuò)展模塊完成的目標(biāo)和任務(wù)。目前的版本側(cè)重于銀行和WhatsApp數(shù)據(jù),但仍在開(kāi)發(fā)中。

6.竊取模塊-負(fù)責(zé)從基于Chromium的瀏覽器竊取數(shù)據(jù)。被盜數(shù)據(jù)包括登錄數(shù)據(jù)、信用卡、Cookie和自動(dòng)填充。

7.文件上傳模塊-能夠從受感染的系統(tǒng)搜索文件并將文件上傳到C2服務(wù)器。在當(dāng)前版本中,該模塊只上傳與MetaMASK的Chrome擴(kuò)展相關(guān)的數(shù)據(jù)。

大多數(shù)模塊在以前的版本中已經(jīng)以某種形式存在,但這個(gè)版本為那些具有改進(jìn)的功能、不同的代碼庫(kù)和實(shí)現(xiàn)其目標(biāo)的獨(dú)特技術(shù)的模塊提供了重新實(shí)現(xiàn)。

另一件需要注意的事情是威脅參與者對(duì)加密貨幣的濃厚興趣,這由使用剪貼器竊取BTC和ETH以及竊取MetaMask憑據(jù)和文件的文件上傳模塊來(lái)表示。

虹科推薦
虹科入侵防御方案

虹科終端安全解決方案,針對(duì)最高級(jí)的威脅提供了以預(yù)防為優(yōu)先的安全,阻止從終端到云的其他攻擊。虹科摩菲斯以自動(dòng)移動(dòng)目標(biāo)防御(AMTD)技術(shù)為支持。AMTD是一項(xiàng)提高網(wǎng)絡(luò)防御水平并改變游戲規(guī)則的新興技術(shù),能夠阻止勒索軟件、供應(yīng)鏈攻擊、零日攻擊、無(wú)文件攻擊和其他高級(jí)攻擊。Gartner研究表明,AMTD是網(wǎng)絡(luò)的未來(lái),其提供了超輕量級(jí)深度防御安全層,以增強(qiáng)NGAV、EPP和EDR/XDR等解決方案。我們?cè)诓挥绊懶阅芑虿恍枰~外工作人員的情況下,針對(duì)無(wú)法檢測(cè)的網(wǎng)絡(luò)攻擊縮小他們的運(yùn)行時(shí)內(nèi)存安全漏洞。超過(guò)5,000家組織信任摩菲斯來(lái)保護(hù)900萬(wàn)臺(tái)Windows和Linux服務(wù)器、工作負(fù)載和終端。虹科摩菲斯每天都在阻止Lenovo,?Motorola、TruGreen、Covenant?Health、公民醫(yī)療中心等數(shù)千次高級(jí)攻擊。

虹科摩菲斯的自動(dòng)移動(dòng)目標(biāo)防御ATMD做到了什么?

1、主動(dòng)進(jìn)行預(yù)防(簽名、規(guī)則、IOCs/IOA);

2、主動(dòng)自動(dòng)防御運(yùn)行時(shí)內(nèi)存攻擊、防御規(guī)避、憑據(jù)盜竊、勒索軟件;

3、在執(zhí)行時(shí)立即阻止惡意軟件;

4、為舊版本操作系統(tǒng)提供全面保護(hù);

5、可以忽略不計(jì)的性能影響(CPU/RAM);

6、無(wú)誤報(bào),通過(guò)確定警報(bào)優(yōu)先級(jí)來(lái)減少分析人員/SOC的工作量。

了解虹科網(wǎng)絡(luò)安全更多技術(shù)干貨/應(yīng)用案例,歡迎前往【虹科網(wǎng)絡(luò)安全】官方網(wǎng)站:https://haocst.com/

聯(lián)系我們|Tel:13533491614

企業(yè)微信:https://tl-tx.dustess.com/69XqBVU311

  • 虹科分享丨Chae$4:針對(duì)金融和物流客戶的新Chaes惡意軟件變體自動(dòng)移動(dòng)目標(biāo)防御.docx

推薦器件

更多器件
器件型號(hào) 數(shù)量 器件廠商 器件描述 數(shù)據(jù)手冊(cè) ECAD模型 風(fēng)險(xiǎn)等級(jí) 參考價(jià)格 更多信息
NC7S14P5X 1 Fairchild Semiconductor Corporation Inverter, HC Series, 1-Func, 1-Input, CMOS, PDSO5, 1.25 MM, EIAJ, SC-88A, SC-70, 5 PIN
$0.29 查看
SN74LVC1G07DCKTG4 1 Texas Instruments Single 1.65-V to 5.5-V buffer with open-drain outputs 5-SC70 -40 to 125

ECAD模型

下載ECAD模型
$1.61 查看
NC7S08M5X_NL 1 Fairchild Semiconductor Corporation AND Gate, HC/UH Series, 1-Func, 2-Input, CMOS, PDSO5, 1.60 MM, LEAD FREE, MO-178AA, SOT-23, 5 PIN
暫無(wú)數(shù)據(jù) 查看

相關(guān)推薦

電子產(chǎn)業(yè)圖譜

虹科是一家資源整合及技術(shù)服務(wù)落地供應(yīng)商,與全球頂尖公司深度技術(shù)合作,專注于制造業(yè)、汽車、生物、醫(yī)藥、測(cè)試與測(cè)量、廣播電視與媒體、通信、網(wǎng)絡(luò)安全、光電等領(lǐng)域,為客戶提供:智能自動(dòng)化、工業(yè)物聯(lián)網(wǎng)、智能感知、數(shù)字化+AR、光電、網(wǎng)絡(luò)安全、測(cè)試測(cè)量、衛(wèi)星與無(wú)線通信、醫(yī)藥環(huán)境監(jiān)測(cè)與驗(yàn)證、生命科學(xué)、汽車電子、汽車維修診斷、云科技等解決方案。虹科始終致力于為行業(yè)客戶提供創(chuàng)新及前端的產(chǎn)品和技術(shù)解決方案,為科技社會(huì)發(fā)展助力加碼。