Centrul Național de Securitate Cibernetică (NCSC) din Marea Britanie a publicat o analiză a unui malware de tip Linux numit ‘Pigmy Goat’, creat pentru a spate-doora dispozitivele firewall Sophos XG ca parte a atacurilor recent dezvăluite de actorii de amenințare chinezi.
Săptămâna trecută, Sophos a publicat o serie de rapoarte denumite ‘Pacific Rim’, care detaliază atacurile de cinci ani ale actorilor de amenințare chinezi asupra dispozitivelor de rețea de margine.
Unul dintre malware-urile personalizate utilizate în aceste atacuri este un rootkit care imită strâns convențiile de denumire a fișierelor produselor Sophos.
Malware-ul, care este proiectat pentru compromiterea dispozitivelor de rețea, prezintă mecanisme avansate de persistență, evitare și acces la distanță și are o structură de cod destul de complexă și căi de execuție.
Deși raportul NCSC nu atribuie activitatea observată unor actori de amenințare cunoscuți, subliniază tehnici, tactici și proceduri similare (‘TTPs’) cu malware-ul ‘Castletap’, pe care Mandiant l-a asociat cu un actor de stat chinez.
Sophos a dezvăluit de asemenea același malware în raportul său Pacific Rim, afirmând că rootkit-ul a fost folosit în atacurile din 2022 legate de un actor de amenințare chinez cunoscut sub numele de ‘Tstark’.
‘X-Ops a identificat două copii ale libsophos.so, ambele implementate folosind CVE-2022-1040 – unul pe un dispozitiv de nivel înalt al guvernului și celălalt pe un partener tehnologic al aceluiași departament guvernamental,’ a împărtășit Sophos.
Malware-ul ‘Pygmy Goat’ este un obiect partajat ELF x86-32 (‘libsophos.so’) care oferă actorilor de amenințare acces la ușa din spate a dispozitivelor de rețea bazate pe Linux, precum firewall-urile Sophos XG.
El utilizează variabila de mediu LD_PRELOAD pentru a încărca încărcătura sa în daemonul SSH (sshd), permițându-i să se conecteze la funcțiile daemonului și să înlocuiască funcția de acceptare, care procesează conexiunile de intrare.
Pygmy Goat monitorizează traficul SSH pentru o anumită secvență de ‘bytes magice’ în primele 23 de bytes ale fiecărui pachet.
Odată găsită acea secvență, conexiunea este identificată ca o sesiune din spate și malware-ul o redirecționează către un socket Unix intern (/tmp/.sshd.ipc) pentru a stabili comunicarea cu comanda și controlul (C2) său.
Malware-ul ascultă și pe un socket ICMP brut, așteptând pachete cu o încărcătură criptată AES care deține informații despre IP și port pentru comunicarea C2, declanșând o încercare de conectare înapoi peste TLS.
Pygmy Goat comunică cu C2 peste TLS, folosind un certificat încorporat care imită CA-ul ‘FortiGate’ al Fortinet, o acoperire potențială pentru a se amesteca în medii de rețea în care dispozitivele Fortinet sunt comune.
Când o conexiune SSH este stabilită, este declanșat un handshake fals cu răspunsuri pre-stabilite pentru a crea o imagine falsă de legitimitate pe monitoarele de rețea.
Serverul C2 poate trimite comenzi Pygmy Goat pentru executare pe dispozitiv, inclusiv următoarele:
Raportul NCSC conține hash-uri de fișiere și reguli YARA și Snort care detectează secvențele de ‘bytes magice’ și handshake-ul fals SSH, astfel încât apărătorii să le poată folosi pentru a captura activitatea Pygmy Goat devreme.
În plus, verificările manuale pentru /lib/libsophos.so, /tmp/.sshd.ipc, /tmp/.fgmon_cli.ipc, /var/run/sshd.pid și /var/run/goat.pid, pot dezvălui o infecție.
De asemenea, este recomandabil să se configureze monitorizarea pentru încărcările criptate în pachetele ICMP și utilizarea ‘LD_PRELOAD’ în mediul procesului ‘ssdh’, comportament care este neobișnuit și poate indica activitatea Pygmy Goat.
Leave a Reply