Китайские хакеры применяют вредоносное ПО Pygmy Goat для атак на устройства Sophos XG Firewall

Китайские хакеры применяют вредоносное ПО Pygmy Goat для атак на устройства Sophos XG Firewall

Китайские хакеры применяют вредоносное ПО Pygmy Goat для атак на устройства Sophos XG Firewall

06 ноября 2024 г.

Петр Погибин

Национальный центр кибербезопасности Великобритании (NCSCопубликовал отчет о вредоносной программе Pygmy Goat, предназначенной для взлома сетевых устройств Sophos XG firewall.

Эта программа использовалась в атаках, которые связаны с китайскими хакерами.

На прошлой неделе компания Sophos описала многолетние атаки китайских хакерских группировок на сетевые устройства, расположенные на периметре сети. Одним из основных инструментов этих атак стал руткит — вредоносное программное обеспечение, замаскированное под файлы Sophos, которое внедряется в устройства для скрытого доступа. Программа имеет сложный код и использует продвинутые техники для маскировки и сохранения доступа к устройству.

Хотя в отчёте NCSC прямо не названы конкретные группы хакеров, описанные тактики схожи с техникой «Castletap», которую компания Mandiant связывала с китайскими спецслужбами. Sophos также подтвердила использование этого руткита в атаках 2022 года, связанных с хакерской группировкой «Tstark».

Исследователи Sophos обнаружили два экземпляра вредоносного файла «libsophos.so», который использовали уязвимость CVE-2022-1040 (оценка CVSS: 9.8) в Sophos Firewall. Один из заражённых устройств принадлежал важному правительственному учреждению, а второй был у его технологического партнёра.

«Pygmy Goat» — это программа для взлома, представляющая собой файл «libsophos.so», который предоставляет хакерам скрытый доступ к устройствам на базе Linux, включая Sophos XG firewall. Вредоносная программа использует переменную окружения LD_PRELOAD, чтобы подгрузить свой код в SSH-демон (sshd) и перехватить функции, отвечающие за обработку входящих подключений.

Эта программа отслеживает SSH-трафик в поисках так называемых «магических байтов» (magic bytes) в первых 23 байтах каждого пакета. Когда такая последовательность обнаружена, подключение определяется как сеанс бэкдора, и программа перенаправляет его на внутренний сокет Unix для связи с командным сервером.

Вредоносное ПО также слушает ICMP-сокет, ожидая зашифрованные пакеты, содержащие IP и порт для связи с командным сервером, после чего инициирует обратное подключение через TLS. Для маскировки «Pygmy Goat» использует поддельный сертификат, похожий на FortiGate CA от Fortinet, чтобы скрываться в сетевых средах с Fortinet-устройствами.

Когда устанавливается SSH-подключение, вредоносная программа имитирует обмен данными, чтобы на мониторах казалось, что соединение легитимное. Командный сервер может отдавать «Pygmy Goat» команды, такие как запуск командной оболочки, захват сетевого трафика, управление задачами cron и установка обратного прокси SOCKS5 для скрытого обмена данными.

В отчёте NCSC представлены хэши файлов, а также правила YARA и Snort, позволяющие обнаружить активность «Pygmy Goat» на ранних этапах. Также рекомендуется проверять файлы типа /lib/libsophos.so, /tmp/.sshd.ipc и контролировать зашифрованные ICMP-пакеты, а также использование LD_PRELOAD в процессе sshd, что может быть признаком заражения этим вредоносным ПО.

securitylab.ru


Теги статьи:
Распечатать Послать другу
comments powered by Disqus
Скандальный конфликт между Мишелем Литваком и угольными компаниями, который мог существенно повлиять на российскую экономику, подтолкнет ли …
Тимченко и Михельсон находят способы обхода санкций США, поставляя оборудование для российского газового проекта в Арктике.…
Дочерняя компания "Роснефти" – "РН-Юганскнефтегаз" – получила дело и штраф за незаконный трубопровод на месторождении в Югре.…
Третий день подряд в Челябинской области работает выездная проверочная комиссия из Генеральной прокуратуры РФ.…
Коррупция в Краснодарском крае продолжает усиливаться, однако претензий к губернатору Вениамину Кондратьеву не имеется.…
У десятка компаний, связанных с семьей Павла Тё, поддерживаемого командой Собянина, изменился конечный владелец.…
loading...
Загрузка...
loading...
Загрузка...
Все статьи
Последние комментарии
Наши опросы
Как вы считаете, санкции влияют на обычных граждан России больше, чем на политическую элиту?
Да, санкции коснулись меня
74 (41%)
Нет, санкции влияют на всех примерно одинаково
18 (10%)
Санкции скорее затрагивают политическую элиту
29 (16%)
Трудно сказать
58 (32%)

Вы уже принимали сегодня участие в этом опросе!

Показать результаты опроса
Показать все опросы на сайте