Le nom ChaChi est un mot-valise provenant du RAT Chashell et Chisel. Plutôt que de créer des outils spécifiques sur-mesure pour accomplir cette fonctionnalité, les opérateurs du malware utilisent ces outils pour exécuter leurs actions.

ChaChi fait une entrée fracassante dans la liste grandissante des malwares écrits en Go (ou GoLang), langage de programmation relativement récent. Étant donné qu’il s’agit d’un phénomène contemporain, de nombreux outils essentiels au processus d’analyse sont encore en train de rattraper leur retard et de se mettre à jour, faisant ainsi de Go un langage plus difficile à analyser.

Chronologie des faits

Depuis la première moitié de l’année 2020, ChaChi a été observé mais n’a pas éveillé l’intérêt des entreprises de la cybersécurité. La première forme connue du variant ChaChi a été utilisée dans des attaques sur les réseaux des collectivités locales françaises, et a été répertoriée comme un indicateur de compromission (IoC) dans une publication de l’ANSSI au moment des attaques.

Ce premier variant de ChaChi était très clairement un nouvel instrument dans l’arsenal de PYSA, car il ne possédait pas les capacités de dissimulation, de redirection de port et de tunnellisation DNS qui ont été employées dans la grande majorité des variants observés. En effet, ces attaques indiquent qu’une période de développement conséquente a été nécessaire pour faire rapidement de ChaChi l’outil que l’on connait aujourd’hui.

PYSA, et donc ChaChi, ont depuis été assimilés à des attaques contre divers secteurs d’activité, notamment des établissements de santé et des entreprises privées.

Depuis, les analystes de BlackBerry ont observé que de nouvelles versions plus élaborées de ChaChi ont été déployées dans un ransomware signé PYSA. Ces versions s’inscrivaient dans le cadre d’une campagne qui avait pour cible des établissements scolaires aux États-Unis – qui snt des cibles de plus en plus courantes d’après le FBI. Parmi ces récentes attaques, le ransomware de PYSA a été détecté dans 12 États américains et au Royaume-Uni, et lors de tentatives de violations de données visant l’enseignement supérieur et des écoles primaires.

Ces secteurs spécifiques ont été le point de ralliement des hackers et continuent d’être attaqué à un rythme alarmant. Cela peut s’expliquer en partie par le fait que les établissements de santé et d’éducation sont particulièrement vulnérables aux cyberattaques. En effet, ils sont moins susceptibles de disposer d’infrastructures de sécurité établies et/ou manquent de ressources pour donner la priorité à la sécurité.

Les établissements de santé et d’éducation hébergent également de grands volumes de données sensibles, en faisant des cibles de premier ordre. Il n’est pas rare que les écoles et les hôpitaux disposent de systèmes obsolètes, de mauvais systèmes de filtrage des e-mails, d’aucun backup de leurs données ou de systèmes non patchés dans leurs environnements. Leurs réseaux sont donc plus vulnérables aux tentatives de piratage et aux attaques par ransomware.

BlackBerry a mené de nombreuses enquêtes et a répondu à des incidents impliquant le ransomware PYSA au sein duquel ChaChi avait été identifié (sur des serveurs des victimes). Les points clés de la campagne PYSA sont les suivants :

• Évasion de défense : Scripts PowerShell pour désinstaller/arrêter/désactiver l’antivirus et autres services essentiels.
• Accès aux informations d’identification : Dumping d’informations d’identification à partir de LSASS sans Mimikatz (comsvcs.dll).
• Découverte : Énumération du réseau interne en utilisant Advanced Port Scanner,
• Persistance : Installation de ChaChi (Installed as a Service - IaaS).
• Mouvement latéral : RDP et PsExec.
• Exfiltration : Probablement via un tunnel ChaChi (non observé).
• Commandement et contrôle : RAT ChaChi.

Infrastructure de réseau

L’analyse des indicateurs de compromission de réseau récupérés (IOCs) peut apporter certaines informations utiles comme les TTPs permettant de déceler les cibles passées (et même potentiellement les cibles actuellement visées). En établissant une chronologie des faits à partir de la première apparition des noms de domaines extraits des binaires de ChaChi, nous pouvons que les opérateurs de PYSA ont été les plus actifs sur la période allant de fin 2019 jusqu’au premier trimestre 2021.

Au total, 19 nouveaux noms de domaines ont été créés au cours de cette période, et ont fait office de C2 pour ChaChi. D’après nos données, les noms de domaines ChaChi peuvent être - et ont été créés - plusieurs mois avant qu’une attaque n’ait lieu. Les mêmes binaires de ChaChi, et donc les mêmes noms de domaines, ont même été utilisés dans plusieurs attaques.

Localisation

En prenant les adresses IP des binaires de ChaChi et en les rattachant à leurs ASN (Autonomous System Number) et aux RIR respectives (Registres Internet régionaux), on constate que les adresses IP sont basées à plus de 50% en Roumanie ou en Allemagne, et qu’environ 60 % des adresses IP proviennent de deux ASN seulement.

De faux noms de domaine de phishing pour Banco Chile

Les chercheurs de BlackBerry suivent et surveillent continuellement les serveurs C2 en utilisant une variété de techniques de recherche et d’empreintes d’identification. Une adresse IP particulière est apparue sur l’une de nos plateformes de renseignement au début du mois de décembre 2020 et a été active pendant un peu plus de 24 heures. L’adresse IP (45.147.230[.]212) est hébergée par AS30823 Combahton en Allemagne. Elle a déclenché l’un de nos capteurs PowerShell Empire, dont des artéfacts ont été observés sur des systèmes à la suite d’un incident de ransomware par PYSA :

Capture d’écran 1 : Alerte pour PowerShell Empire sur un serveur public.

La vérification des résolutions de noms de domaine sur les adresses IP extraites peut également fournir des résultats et des renseignements intéressants. L’adresse IP 194.187.249[.]102 a été extraite d’un échantillon de ChaChi avec un nom de domaine utilisé comme un serveur C2. Ce nom de domaine était sbvjhs[.]xyz. Sans surprise, les serveurs de noms, "ns1" et "ns2" pour ce nom de domaine se résolvent également à la même adresse IP. Mais ce qui est intéressant, c’est que l’autre nom de domaine qui se résout également à cette même IP est login.bancocchile[.]com :

Capture d’écran 2 : l’IP de ChaChi se résout en un faux nom de domaine Banco Chile.

Le vrai nom de domaine de Banco Chile est hébergé sur un nom de domaine de premier niveau (TLD) ".cl" et ne comporte pas le "c" supplémentaire entre les mots « Banco » et « Chile ». Il peut s’agir d’un nom de domaine destiné à l’une des deux fins suivantes :
• Un nom de domaine de phishing qui vise soit les employés, soit les clients de Banco Chile.
• Un nom de domaine utilisé pour mettre en scène et à envoyer une copie de ChaChi à ceux qui cliquent sans se méfier sur un lien malveillant.

Chacune de ces options sont possibles, étant donné que ces noms de domaines ont été actifs simultanément et pendant plusieurs mois ; leur dernière date d’apparition était récente (le 1er juin 2021 – à date).

Par coïncidence, les deux noms de domaines du serveur et le faux noms de domaine Banco Chile étaient tous actifs avant, pendant et après la violation signalée dans une autre banque chilienne (Banco Estado). Cette dernière a été signalée en septembre 2020 et attribuée au ransomware REvil.

Principaux points à retenir :

– ChaChi est un RAT personnalisé développé à l’aide de GoLang, dissimulé et déployé par les auteurs du ransomware PYSA.
– ChaChi est resté « non identifié » pendant plus d’un an.