导 读
英国国家网络安全中心 (NCSC) 发布了在被黑客入侵的 Sophos XG 防火墙设备上植入的复杂网络后门的技术文档,并警告称,该恶意软件是为更广泛的基于 Linux 的网络设备设计的。
该后门名为 Pygmy Goat(“侏儒山羊”),使用多种隐秘技术来保持持久性并避免被发现,并且能够将恶意流量伪装成合法的 SSH 连接。
该后门还利用加密的 ICMP 数据包进行秘密通信,显然是技术娴熟、专业的黑客所为。
“虽然 Pygmy Goat 不包含任何新颖的技术,但它在让攻击者能够按需与其交互的同时,还能够与正常的网络流量融合方面相当复杂。代码本身很干净,具有简短、结构良好的函数,有助于未来的扩展,并且整个过程中都会检查错误,这表明它是由一位或多位有能力的开发人员编写的。”NCSC 表示。
该机构认为,该恶意软件的目的是针对除了 Sophos 防火墙之外的更广泛的基于 Linux 的网络设备。
该机构表示,Pygmy Goat 恶意软件使用伪装成 Fortinet 的证书签名,Fortinet 是另一家经常受到攻击的主要防火墙供应商。该机构表示,这表明攻击者最初开发该恶意软件是为了针对 FortiGate 设备,然后将其改编为针对 Sophos 系统。
据报道,该网络后门具有多种通信唤醒方法,以及两个单独的远程 shell,如果该恶意软件是针对特定设备开发的,则这些操作可能会被视为不必要的努力。
据称,Pygmy Goat 不依赖任何特定于设备的外部库,并将在基础 Ubuntu 发行版上运行。
该机构指出,Mandiant 最近的报告(https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575)显示,针对 FortiGate 设备的攻击具有与 Pygmy Goat 类似的 TTP,例如包含 C2 信息的加密 ICMP 数据包被用于建立反向 SSL 连接。
此次曝光发生在Sophos 承认使用定制植入物监视黑客(这些黑客针对其产品中的零日漏洞) 不到 24 小时之后。
Sophos 表示,早在 2018 年,他们就成功抵御了多起攻击活动,每次攻击都比上一次更为复杂和激进。
这些攻击包括成功入侵 Sophos 在印度的 Cyberoam 卫星办公室,攻击者通过一个被忽视的壁挂式显示器获得了初始访问权限。调查很快得出结论,Sophos 设施入侵是“适应性强的对手所为,他们能够根据需要升级能力以实现其目标”。
到 2020 年,Sophos 表示其威胁搜寻团队发现了受黑客控制的设备。该公司表示已部署了“定向植入”来监控一组受攻击者控制的设备。
该公司表示:“额外的可见性使 [Sophos 研究团队] 能够快速识别出一种之前未知的、隐秘的远程代码执行漏洞。”
Sophos 表示,在初次访问后,它跟踪了入侵设备以部署有效载荷以实现持久性的攻击者,其中包括 Gh0st 远程访问木马 (RAT)、以前从未见过的 rootkit 以及旨在禁用修补程序和避免自动修补的自适应控制机制。
技术报告下载:https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/pygmy-goat/ncsc-mar-pygmy-goat.pdf
新闻链接:
https://securityweek.com/ncsc-details-pygmy-goat-backdoor-planted-on-hacked-sophos-firewall-devices/
今日安全资讯速递
APT事件
Advanced Persistent Threat
美国和以色列网络安全机构联合发布一份报告,称伊朗黑客攻击入侵了2024法国夏季奥运会相关系统
https://thehackernews.com/2024/11/inside-irans-cyber-playbook-ai-fake.html
疑似乌克兰网络攻击导致俄罗斯城市停车执法瘫痪
https://therecord.media/ukraine-cyberattack-russia-parking-tver
微软警告俄罗斯鱼叉式网络钓鱼攻击针对 100 多个组织
https://www.securityweek.com/microsoft-warns-of-russian-spear-phishing-attacks-targeting-over-100-organizations/
微软警告:黑客利用 Quad7 僵尸网络窃取凭证
https://www.bleepingcomputer.com/news/security/microsoft-chinese-hackers-use-quad7-botnet-to-steal-credentials/
朝鲜APT组织与 Play 勒索软件合作发动重大网络攻击
https://thehackernews.com/2024/10/north-korean-group-collaborates-with.html
Lazarus APT 组织大量利用社会工程技术和生成式人工智能瞄准加密货币投资者
https://securitybrief.co.nz/story/lazarus-apt-group-targets-crypto-investors-with-ai-tactics
黑客利用 CloudScout 工具集窃取云服务会话 Cookie
https://thehackernews.com/2024/10/chinese-hackers-use-cloudscout-toolset.html
新的 LightSpy 间谍软件以增强功能瞄准 iOS
https://www.infosecurity-magazine.com/news/lightspy-spyware-targets-ios/
BeaverTail 恶意软件在针对开发人员的恶意 npm 软件包中再次出现
https://thehackernews.com/2024/10/beavertail-malware-resurfaces-in.html
谷歌称俄罗斯利用 Android、Windows 恶意软件攻击乌克兰新兵
https://www.securityweek.com/google-russia-targeting-ukrainian-military-recruits-with-android-windows-malware/
一般威胁事件
General Threat Incidents
施耐德电气确认黑客窃取数据后开发平台遭入侵
https://www.bleepingcomputer.com/news/security/schneider-electric-confirms-dev-platform-breach-after-hacker-steals-data/
全球企业成为大规模 ChatGPT 网络钓鱼攻击的目标
https://www.securityweek.com/businesses-worldwide-targeted-in-large-scale-chatgpt-phishing-campaign/
圣泽维尔大学数据泄露事件影响 210,000 人
https://www.securityweek.com/210000-impacted-by-year-old-saint-xavier-university-data-breach/
认识 Interlock — 针对 FreeBSD 服务器的新型勒索软件
https://www.bleepingcomputer.com/news/security/meet-interlock-the-new-ransomware-targeting-freebsd-servers/
哥伦布市勒索软件攻击影响 500,000 人
https://www.securityweek.com/city-of-columbus-ransomware-attack-impacts-500000-people/
加州法院遭遇网络攻击,数字服务中断
https://therecord.media/california-court-suffering-from-tech-outages-cyberattack
勒索软件攻击袭击德国药品批发商,扰乱药品供应
https://therecord.media/ransomware-attack-hits-german-pharmaceutical-wholesaler-disruptions
报告显示,2024 年上半年勒索软件攻击严重程度上升 68%
https://www.insurancejournal.com/magazines/mag-features/2024/11/04/799559.htm
洛杉矶住房机构确认继 2023 年勒索软件事件后再次遭遇网络攻击
https://therecord.media/hacla-los-angeles-second-ransomware-attack
法国政府承包商遭遇网络攻击,年轻人就业数据恐遭窃取
https://therecord.media/france-data-breach-government-contractor-local-missions
黑客泄露近 30 万份《麻省理工技术评论》杂志用户记录
https://hackread.com/hackers-leak-mit-technology-review-user-records/
黑客声称可访问诺基亚内部数据,售价 20,000 美元
https://hackread.com/hackers-claim-access-nokia-internal-data-selling-20k/
漏洞事件
Vulnerability Incidents
谷歌称其人工智能发现了模糊测试遗漏的 SQLite 漏洞
https://www.securityweek.com/google-says-its-ai-found-sqlite-vulnerability-that-fuzzing-missed/
Ollama AI 框架中的严重缺陷可能导致 DoS、模型盗窃和中毒
https://thehackernews.com/2024/11/critical-flaws-in-ollama-ai-framework.html
GreyNoise Intelligence 表示,内部 AI 工具捕获了试图利用商业直播物联网摄像机严重漏洞的攻击活动
https://www.securityweek.com/greynoise-credits-ai-for-spotting-exploit-attempts-on-iot-livestream-cams/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):NCSC 详细介绍了被黑 Sophos 防火墙设备上植入的“侏儒山羊”后门
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论