Великобритания раскрыла вредоносное ПО «Pygmy Goat»

248     0
Великобритания раскрыла вредоносное ПО «Pygmy Goat»
Великобритания раскрыла вредоносное ПО «Pygmy Goat»

Национальный центр кибербезопасности Великобритании (NCSCпредставил отчёт о вредоносной программе «Pygmy Goat», созданной для взлома сетевых устройств Sophos XG firewall.

Эта программа была задействована в атаках, которые приписывают китайским хакерам.

На прошлой неделе компания Sophos описала многолетние атаки китайских группировок на сетевые устройства, находящиеся на границе периметра сети. Одним из главных инструментов этих атак стал руткит — вредоносная программа, замаскированная под файлы Sophos, которая внедряется в устройства для скрытого доступа. Программа имеет сложный код и использует продвинутые методы для маскировки и сохранения доступа к устройству.

Хотя в отчёте NCSC прямо не названы конкретные группы хакеров, описанные тактики схожи с техникой «Castletap», которую компания Mandiant связывала с китайскими спецслужбами. Sophos также подтвердила использование этого руткита в атаках 2022 года, связанных с хакерской группировкой «Tstark».

Исследователи Sophos обнаружили два экземпляра вредоносного файла «libsophos.so», который использовали уязвимость CVE-2022-1040 (оценка CVSS: 9.8) в Sophos Firewall. Один из заражённых устройств принадлежал важному правительственному учреждению, а второй был у его технологического партнёра.

«Pygmy Goat» — это программа для взлома, представляющая собой файл «libsophos.so», который предоставляет хакерам скрытый доступ к устройствам на базе Linux, включая Sophos XG firewall. Вредоносная программа использует переменную окружения LD_PRELOAD, чтобы подгрузить свой код в SSH-демон (sshd) и перехватить функции, отвечающие за обработку входящих подключений.

Эта программа отслеживает SSH-трафик в поисках так называемых «магических байтов» (magic bytes) в первых 23 байтах каждого пакета. Когда такая последовательность обнаружена, подключение определяется как сеанс бэкдора, и программа перенаправляет его на внутренний сокет Unix для связи с командным сервером.

Вредоносное ПО также слушает ICMP-сокет, ожидая зашифрованные пакеты, содержащие IP и порт для связи с командным сервером, после чего инициирует обратное подключение через TLS. Для маскировки «Pygmy Goat» использует поддельный сертификат, похожий на FortiGate CA от Fortinet, чтобы скрываться в сетевых средах с Fortinet-устройствами.

Когда устанавливается SSH-подключение, вредоносная программа имитирует обмен данными, чтобы на мониторах казалось, что соединение легитимное. Командный сервер может отдавать «Pygmy Goat» команды, такие как запуск командной оболочки, захват сетевого трафика, управление задачами cron и установка обратного прокси SOCKS5 для скрытого обмена данными.

В отчёте NCSC представлены хэши файлов, а также правила YARA и Snort, позволяющие обнаружить активность «Pygmy Goat» на ранних этапах. Также рекомендуется проверять файлы типа /lib/libsophos.so, /tmp/.sshd.ipc и контролировать зашифрованные ICMP-пакеты, а также использование LD_PRELOAD в процессе sshd, что может быть признаком заражения этим вредоносным ПО.

Теги: Pygmy Goat,Кибербезопасность,NCSC,Sophos,Хакеры,Программное обеспечение (ПО),Кибератака,
Регион: Великобритания,

Читайте по теме:

Booking.com усиливает безопасность после роста фишинговых атак, но мошенники продолжают обходить защиту
В Канаде арестован хакер, связанный с крупными взломами данных
Юридическая неопределенность и выборы: Япония откладывает принятие закона о кибербезопасности
Станислав Кузнецов: данные 90% россиян утекли в сеть
Обнаружена крупная мошенническая операция Phish ’n’ Ships: киберпреступники создавали поддельные интернет-магазины
Фишинг с правовым подтекстом: новая волна кибератак на бизнес-страницы в соцсетях
Министерство труда Франции усиливает защиту данных после кибератаки на информационную систему центров Missions Locales
Meta внедрит систему защиты подростков от недостоверного возраста в Instagram* с помощью ИИ
Взлом почтового ящика U.S. Soccer: имена и номера соцстрахов затронутых пользователей под угрозой
Проблемы после кибератаки на Transport for London: скидки для малообеспеченных пассажиров заморожены, бизнесы страдают от задержек оплат