NCSC 详细介绍了被黑 Sophos 防火墙设备上植入的侏儒山羊后门

admin 2024年11月5日10:27:00评论23 views字数 4517阅读15分3秒阅读模式

导 

英国国家网络安全中心 (NCSC) 发布了在被黑客入侵的 Sophos XG 防火墙设备上植入的复杂网络后门的技术文档,并警告称,该恶意软件是为更广泛的基于 Linux 的网络设备设计的。

NCSC 详细介绍了被黑 Sophos 防火墙设备上植入的侏儒山羊后门

该后门名为 Pygmy Goat(“侏儒山羊”),使用多种隐秘技术来保持持久性并避免被发现,并且能够将恶意流量伪装成合法的 SSH 连接。

该后门还利用加密的 ICMP 数据包进行秘密通信,显然是技术娴熟、专业的黑客所为。

“虽然 Pygmy Goat 不包含任何新颖的技术,但它在让攻击者能够按需与其交互的同时,还能够与正常的网络流量融合方面相当复杂。代码本身很干净,具有简短、结构良好的函数,有助于未来的扩展,并且整个过程中都会检查错误,这表明它是由一位或多位有能力的开发人员编写的。”NCSC 表示。

该机构认为,该恶意软件的目的是针对除了 Sophos 防火墙之外的更广泛的基于 Linux 的网络设备。

该机构表示,Pygmy Goat 恶意软件使用伪装成 Fortinet 的证书签名,Fortinet 是另一家经常受到攻击的主要防火墙供应商。该机构表示,这表明攻击者最初开发该恶意软件是为了针对 FortiGate 设备,然后将其改编为针对 Sophos 系统。

据报道,该网络后门具有多种通信唤醒方法,以及两个单独的远程 shell,如果该恶意软件是针对特定设备开发的,则这些操作可能会被视为不必要的努力。

据称,Pygmy Goat 不依赖任何特定于设备的外部库,并将在基础 Ubuntu 发行版上运行。

该机构指出,Mandiant 最近的报告(https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575)显示,针对 FortiGate 设备的攻击具有与 Pygmy Goat 类似的 TTP,例如包含 C2 信息的加密 ICMP 数据包被用于建立反向 SSL 连接。

此次曝光发生在Sophos 承认使用定制植入物监视黑客(这些黑客针对其产品中的零日漏洞) 不到 24 小时之后。

Sophos 表示,早在 2018 年,他们就成功抵御了多起攻击活动,每次攻击都比上一次更为复杂和激进。

这些攻击包括成功入侵 Sophos 在印度的 Cyberoam 卫星办公室,攻击者通过一个被忽视的壁挂式显示器获得了初始访问权限。调查很快得出结论,Sophos 设施入侵是“适应性强的对手所为,他们能够根据需要升级能力以实现其目标”。

到 2020 年,Sophos 表示其威胁搜寻团队发现了受黑客控制的设备。该公司表示已部署了“定向植入”来监控一组受攻击者控制的设备。

该公司表示:“额外的可见性使 [Sophos 研究团队] 能够快速识别出一种之前未知的、隐秘的远程代码执行漏洞。”

Sophos 表示,在初次访问后,它跟踪了入侵设备以部署有效载荷以实现持久性的攻击者,其中包括 Gh0st 远程访问木马 (RAT)、以前从未见过的 rootkit 以及旨在禁用修补程序和避免自动修补的自适应控制机制。

技术报告下载:https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/pygmy-goat/ncsc-mar-pygmy-goat.pdf

新闻链接:

https://securityweek.com/ncsc-details-pygmy-goat-backdoor-planted-on-hacked-sophos-firewall-devices/

NCSC 详细介绍了被黑 Sophos 防火墙设备上植入的侏儒山羊后门

今日安全资讯速递

APT事件

Advanced Persistent Threat

美国和以色列网络安全机构联合发布一份报告,称伊朗黑客攻击入侵了2024法国夏季奥运会相关系统

https://thehackernews.com/2024/11/inside-irans-cyber-playbook-ai-fake.html

疑似乌克兰网络攻击导致俄罗斯城市停车执法瘫痪

https://therecord.media/ukraine-cyberattack-russia-parking-tver

微软警告俄罗斯鱼叉式网络钓鱼攻击针对 100 多个组织

https://www.securityweek.com/microsoft-warns-of-russian-spear-phishing-attacks-targeting-over-100-organizations/

微软警告:黑客利用 Quad7 僵尸网络窃取凭证

https://www.bleepingcomputer.com/news/security/microsoft-chinese-hackers-use-quad7-botnet-to-steal-credentials/

朝鲜APT组织与 Play 勒索软件合作发动重大网络攻击

https://thehackernews.com/2024/10/north-korean-group-collaborates-with.html

Lazarus APT 组织大量利用社会工程技术和生成式人工智能瞄准加密货币投资者

https://securitybrief.co.nz/story/lazarus-apt-group-targets-crypto-investors-with-ai-tactics

黑客利用 CloudScout 工具集窃取云服务会话 Cookie

https://thehackernews.com/2024/10/chinese-hackers-use-cloudscout-toolset.html

新的 LightSpy 间谍软件以增强功能瞄准 iOS

https://www.infosecurity-magazine.com/news/lightspy-spyware-targets-ios/

BeaverTail 恶意软件在针对开发人员的恶意 npm 软件包中再次出现

https://thehackernews.com/2024/10/beavertail-malware-resurfaces-in.html

谷歌称俄罗斯利用 Android、Windows 恶意软件攻击乌克兰新兵

https://www.securityweek.com/google-russia-targeting-ukrainian-military-recruits-with-android-windows-malware/

一般威胁事件

General Threat Incidents

施耐德电气确认黑客窃取数据后开发平台遭入侵

https://www.bleepingcomputer.com/news/security/schneider-electric-confirms-dev-platform-breach-after-hacker-steals-data/

全球企业成为大规模 ChatGPT 网络钓鱼攻击的目标

https://www.securityweek.com/businesses-worldwide-targeted-in-large-scale-chatgpt-phishing-campaign/

圣泽维尔大学数据泄露事件影响 210,000 人

https://www.securityweek.com/210000-impacted-by-year-old-saint-xavier-university-data-breach/

认识 Interlock — 针对 FreeBSD 服务器的新型勒索软件

https://www.bleepingcomputer.com/news/security/meet-interlock-the-new-ransomware-targeting-freebsd-servers/

哥伦布市勒索软件攻击影响 500,000 人

https://www.securityweek.com/city-of-columbus-ransomware-attack-impacts-500000-people/

加州法院遭遇网络攻击,数字服务中断

https://therecord.media/california-court-suffering-from-tech-outages-cyberattack

勒索软件攻击袭击德国药品批发商,扰乱药品供应

https://therecord.media/ransomware-attack-hits-german-pharmaceutical-wholesaler-disruptions

报告显示,2024 年上半年勒索软件攻击严重程度上升 68%

https://www.insurancejournal.com/magazines/mag-features/2024/11/04/799559.htm

洛杉矶住房机构确认继 2023 年勒索软件事件后再次遭遇网络攻击

https://therecord.media/hacla-los-angeles-second-ransomware-attack

法国政府承包商遭遇网络攻击,年轻人就业数据恐遭窃取

https://therecord.media/france-data-breach-government-contractor-local-missions

黑客泄露近 30 万份《麻省理工技术评论》杂志用户记录

https://hackread.com/hackers-leak-mit-technology-review-user-records/

黑客声称可访问诺基亚内部数据,售价 20,000 美元

https://hackread.com/hackers-claim-access-nokia-internal-data-selling-20k/

漏洞事件

Vulnerability Incidents

谷歌称其人工智能发现了模糊测试遗漏的 SQLite 漏洞

https://www.securityweek.com/google-says-its-ai-found-sqlite-vulnerability-that-fuzzing-missed/

Ollama AI 框架中的严重缺陷可能导致 DoS、模型盗窃和中毒

https://thehackernews.com/2024/11/critical-flaws-in-ollama-ai-framework.html

GreyNoise Intelligence 表示,内部 AI 工具捕获了试图利用商业直播物联网摄像机严重漏洞的攻击活动

https://www.securityweek.com/greynoise-credits-ai-for-spotting-exploit-attempts-on-iot-livestream-cams/

NCSC 详细介绍了被黑 Sophos 防火墙设备上植入的侏儒山羊后门

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

原文始发于微信公众号(军哥网络安全读报):NCSC 详细介绍了被黑 Sophos 防火墙设备上植入的“侏儒山羊”后门

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月5日10:27:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   NCSC 详细介绍了被黑 Sophos 防火墙设备上植入的侏儒山羊后门https://cn-sec.com/archives/3357096.html

发表评论

匿名网友 填写信息