Китайские хакеры применяют вредоносное ПО Pygmy Goat для атак на устройства Sophos XG Firewall
Китайские хакеры применяют вредоносное ПО Pygmy Goat для атак на устройства Sophos XG Firewall
Национальный центр кибербезопасности Великобритании (NCSC) опубликовал отчет о вредоносной программе Pygmy Goat, предназначенной для взлома сетевых устройств Sophos XG firewall.
Эта программа использовалась в атаках, которые связаны с китайскими хакерами.
На прошлой неделе компания Sophos описала многолетние атаки китайских хакерских группировок на сетевые устройства, расположенные на периметре сети. Одним из основных инструментов этих атак стал руткит — вредоносное программное обеспечение, замаскированное под файлы Sophos, которое внедряется в устройства для скрытого доступа. Программа имеет сложный код и использует продвинутые техники для маскировки и сохранения доступа к устройству.
Хотя в отчёте NCSC прямо не названы конкретные группы хакеров, описанные тактики схожи с техникой «Castletap», которую компания Mandiant связывала с китайскими спецслужбами. Sophos также подтвердила использование этого руткита в атаках 2022 года, связанных с хакерской группировкой «Tstark».
Исследователи Sophos обнаружили два экземпляра вредоносного файла «libsophos.so», который использовали уязвимость CVE-2022-1040 (оценка CVSS: 9.8) в Sophos Firewall. Один из заражённых устройств принадлежал важному правительственному учреждению, а второй был у его технологического партнёра.
«Pygmy Goat» — это программа для взлома, представляющая собой файл «libsophos.so», который предоставляет хакерам скрытый доступ к устройствам на базе Linux, включая Sophos XG firewall. Вредоносная программа использует переменную окружения LD_PRELOAD, чтобы подгрузить свой код в SSH-демон (sshd) и перехватить функции, отвечающие за обработку входящих подключений.
Эта программа отслеживает SSH-трафик в поисках так называемых «магических байтов» (magic bytes) в первых 23 байтах каждого пакета. Когда такая последовательность обнаружена, подключение определяется как сеанс бэкдора, и программа перенаправляет его на внутренний сокет Unix для связи с командным сервером.
Вредоносное ПО также слушает ICMP-сокет, ожидая зашифрованные пакеты, содержащие IP и порт для связи с командным сервером, после чего инициирует обратное подключение через TLS. Для маскировки «Pygmy Goat» использует поддельный сертификат, похожий на FortiGate CA от Fortinet, чтобы скрываться в сетевых средах с Fortinet-устройствами.
Когда устанавливается SSH-подключение, вредоносная программа имитирует обмен данными, чтобы на мониторах казалось, что соединение легитимное. Командный сервер может отдавать «Pygmy Goat» команды, такие как запуск командной оболочки, захват сетевого трафика, управление задачами cron и установка обратного прокси SOCKS5 для скрытого обмена данными.
В отчёте NCSC представлены хэши файлов, а также правила YARA и Snort, позволяющие обнаружить активность «Pygmy Goat» на ранних этапах. Также рекомендуется проверять файлы типа /lib/libsophos.so, /tmp/.sshd.ipc и контролировать зашифрованные ICMP-пакеты, а также использование LD_PRELOAD в процессе sshd, что может быть признаком заражения этим вредоносным tidtridhidkmp ПО.
Теги статьи: ХакерыКибербезопасностьКибератакаВеликобритания
Статьи по теме:
ELITETEAM сделала Сейшелы центром киберпреступностиВ Дубае ядерные державы обсудили обновленные доктрины безопасности
Северокорейские хакеры взломали платформу Radiant Capital и похитили 50 миллионов долларов
Китайские кибершпионы осуществляли прослушивание телефонных разговоров
Кейт Миддлтон переосмысляет королевские обычаи
Распечатать Послать другу comments powered by Disqus
Все теги статей
Да, санкции коснулись меня
Вы уже принимали сегодня участие в этом опросе!
Показать результаты опроса
Показать все опросы на сайте