Новости Pygmy Goat: Китай проникает в правительственные системы

NewsMaker

I'm just a script
Премиум
13,887
20
8 Ноя 2022
Британия раскрывает схему проникновения невидимого руткита.


zxpr3bj61r5z6pimrqmofzsi49rv12hx.jpg


Национальный центр кибербезопасности Великобритании ( NCSC ) Для просмотра ссылки Войди или Зарегистрируйся о вредоносной программе «Pygmy Goat», созданной для взлома сетевых устройств Sophos XG firewall. Эта программа была задействована в атаках, которые приписывают китайским хакерам.

На прошлой неделе компания Sophos Для просмотра ссылки Войди или Зарегистрируйся на сетевые устройства, находящиеся на границе периметра сети. Одним из главных инструментов этих атак стал руткит — вредоносная программа, замаскированная под файлы Sophos, которая внедряется в устройства для скрытого доступа. Программа имеет сложный код и использует продвинутые методы для маскировки и сохранения доступа к устройству.

Хотя в отчёте NCSC прямо не названы конкретные группы хакеров, описанные тактики схожи с техникой «Castletap», которую компания Mandiant связывала с китайскими спецслужбами. Sophos также подтвердила использование этого руткита в атаках 2022 года, связанных с хакерской группировкой «Tstark».

Исследователи Sophos обнаружили два экземпляра вредоносного файла «libsophos.so», который использовали уязвимость Для просмотра ссылки Войди или Зарегистрируйся (оценка Для просмотра ссылки Войди или Зарегистрируйся 9.8) в Sophos Firewall. Один из заражённых устройств принадлежал важному правительственному учреждению, а второй был у его технологического партнёра.

«Pygmy Goat» — это программа для взлома, представляющая собой файл «libsophos.so», который предоставляет хакерам скрытый доступ к устройствам на базе Linux, включая Sophos XG firewall. Вредоносная программа использует переменную окружения LD_PRELOAD, чтобы подгрузить свой код в SSH-демон (sshd) и перехватить функции, отвечающие за обработку входящих подключений.

Эта программа отслеживает SSH-трафик в поисках так называемых «магических байтов» ( magic bytes ) в первых 23 байтах каждого пакета. Когда такая последовательность обнаружена, подключение определяется как сеанс бэкдора, и программа перенаправляет его на внутренний сокет Unix для связи с командным сервером.

Вредоносное ПО также слушает ICMP-сокет, ожидая зашифрованные пакеты, содержащие IP и порт для связи с командным сервером, после чего инициирует обратное подключение через TLS. Для маскировки «Pygmy Goat» использует поддельный сертификат, похожий на FortiGate CA от Fortinet, чтобы скрываться в сетевых средах с Fortinet-устройствами.

Когда устанавливается SSH-подключение, вредоносная программа имитирует обмен данными, чтобы на мониторах казалось, что соединение легитимное. Командный сервер может отдавать «Pygmy Goat» команды, такие как запуск командной оболочки, захват сетевого трафика, управление задачами cron и установка обратного прокси SOCKS5 для скрытого обмена данными.

В отчёте NCSC представлены хэши файлов, а также правила YARA и Snort, позволяющие обнаружить активность «Pygmy Goat» на ранних этапах. Также рекомендуется проверять файлы типа /lib/libsophos.so, /tmp/.sshd.ipc и контролировать зашифрованные ICMP-пакеты, а также использование LD_PRELOAD в процессе sshd, что может быть признаком заражения этим вредоносным ПО.
 
Источник новости
www.securitylab.ru

Похожие темы