Το Εθνικό Κέντρο Ασφάλειας Κυβερνοασφάλειας του Ηνωμένου Βασιλείου (NCSC) δημοσίευσε μια ανάλυση ενός κακόβουλου λογισμικού Linux με το όνομα “Pigmy Goat” που δημιουργήθηκε για να καλύψει τις συσκευές τείχους προστασίας Sophos XG ως μέρος επιθέσεων που αποκαλύφθηκαν πρόσφατα από κινέζους παράγοντες απειλών.
Την περασμένη εβδομάδα, ο Sophos δημοσίευσε μια σειρά από αναφορές με τίτλο “Χείλος Ειρηνικούπου περιγράφει λεπτομερείς επιθέσεις πέντε ετών από κινέζους παράγοντες απειλών σε συσκευές δικτύωσης αιχμής.
Ένα από τα προσαρμοσμένα κακόβουλα προγράμματα που χρησιμοποιούνται σε αυτές τις επιθέσεις είναι ένα rootkit που υποδύθηκε στενά τις συμβάσεις ονομασίας αρχείων προϊόντων της Sophos.
Το κακόβουλο λογισμικό, το οποίο έχει σχεδιαστεί για παραβίαση συσκευών δικτύου, διαθέτει προηγμένους μηχανισμούς εμμονής, αποφυγής και απομακρυσμένης πρόσβασης και έχει μια μάλλον περίπλοκη δομή κώδικα και διαδρομές εκτέλεσης.
Αν και το Έκθεση NCSC δεν αποδίδει την παρατηρούμενη δραστηριότητα σε γνωστούς παράγοντες απειλών, υπογραμμίζει παρόμοιες τεχνικές, τακτικές και διαδικασίες (TTP) με το κακόβουλο λογισμικό “Castletap”, το οποίο η Mandiant έχει συνδέσει με έναν κινεζικό παράγοντα εθνικού κράτους.
Η Sophos έχει επίσης αποκαλύψει το ίδιο κακόβουλο λογισμικό στο δικό της Έκθεση Pacific Rimδηλώνοντας ότι το rootkit χρησιμοποιήθηκε σε επιθέσεις του 2022 που συνδέονται με έναν κινέζο παράγοντα απειλών γνωστό ως “Tstark”.
“Το X-Ops εντόπισε δύο αντίγραφα του libsophos.so, και τα δύο αναπτύχθηκαν χρησιμοποιώντας το CVE-2022-1040 — το ένα σε μια κρατική συσκευή υψηλού επιπέδου και το άλλο σε έναν τεχνολογικό συνεργάτη του ίδιου κυβερνητικού τμήματος”, ανέφερε η Sophos.
Μια κατσίκα στο τείχος προστασίας
Το κακόβουλο λογισμικό «Pygmy Goat» είναι ένα κοινόχρηστο αντικείμενο x86-32 ELF («libsophos.so») που παρέχει στους φορείς απειλών πρόσβαση σε κερκόπορτα σε συσκευές δικτύωσης που βασίζονται σε Linux, όπως τα τείχη προστασίας Sophos XG.
Χρησιμοποιεί τη μεταβλητή περιβάλλοντος LD_PRELOAD για να φορτώσει το ωφέλιμο φορτίο του στον δαίμονα SSH (sshd), επιτρέποντάς του να συνδεθεί με τις λειτουργίες του δαίμονα και να παρακάμψει τη συνάρτηση αποδοχής, η οποία επεξεργάζεται τις εισερχόμενες συνδέσεις.
Το Pygmy Goat παρακολουθεί την κυκλοφορία SSH για μια συγκεκριμένη ακολουθία “μαγικών byte” στα πρώτα 23 byte κάθε πακέτου.
Πηγή: NCSC
Μόλις εντοπιστεί αυτή η ακολουθία, η σύνδεση αναγνωρίζεται ως μια συνεδρία backdoor και το κακόβουλο λογισμικό την ανακατευθύνει σε μια εσωτερική υποδοχή Unix (/tmp/.sshd.ipc) για να αποκαταστήσει την επικοινωνία με το Command and Control (C2).
Το κακόβουλο λογισμικό ακούει επίσης σε μια ακατέργαστη υποδοχή ICMP, περιμένοντας πακέτα με κρυπτογραφημένο ωφέλιμο φορτίο AES που διατηρεί πληροφορίες IP και θύρας για επικοινωνία C2, η οποία ενεργοποιεί μια προσπάθεια επανασύνδεσης μέσω TLS.
Πηγή: NCSC
Το Pygmy Goat επικοινωνεί με το C2 μέσω TLS, χρησιμοποιώντας ένα ενσωματωμένο πιστοποιητικό που μιμείται την ΑΠ “FortiGate” της Fortinet, μια πιθανή κάλυψη για ανάμειξη σε περιβάλλοντα δικτύου όπου οι συσκευές Fortinet είναι κοινές.
Όταν δημιουργηθεί μια σύνδεση SSH, ενεργοποιείται μια ψεύτικη χειραψία με προκαθορισμένες αποκρίσεις για να δημιουργηθεί μια ψευδής εικόνα νομιμότητας στις οθόνες δικτύου.
Ο διακομιστής C2 μπορεί να στείλει εντολές Pygmy Goat για εκτέλεση στη συσκευή, συμπεριλαμβανομένων των εξής:
- Ανοίξτε ένα κέλυφος /bin/sh ή /bin/csh.
- Ξεκινήστε να καταγράφετε κίνηση δικτύου μέσω libpcap, προωθώντας τα αποτελέσματα στο C2.
- Διαχειριστείτε εργασίες cron χρησιμοποιώντας το BusyBox για να προγραμματίσετε δραστηριότητες όταν ο ηθοποιός δεν είναι ενεργά συνδεδεμένος.
- Χρησιμοποιήστε το κιτ εργαλείων ανοιχτού κώδικα EarthWorm για να δημιουργήσετε έναν αντίστροφο διακομιστή μεσολάβησης SOCKS5, επιτρέποντας στην κυκλοφορία C2 να διασχίζει το δίκτυο χωρίς να φαίνεται.
Ανίχνευση και άμυνα
Η αναφορά NCSC περιέχει κατακερματισμούς αρχείων και κανόνες YARA και Snort που εντοπίζουν τις μαγικές ακολουθίες byte και την ψεύτικη χειραψία SSH, ώστε οι υπερασπιστές να μπορούν να τα χρησιμοποιήσουν για να καταγράψουν τη δραστηριότητα Pygmy Goat από νωρίς.
Επιπλέον, οι χειροκίνητοι έλεγχοι για τα /lib/libsophos.so, /tmp/.sshd.ipc, /tmp/.fgmon_cli.ipc, /var/run/sshd.pid και /var/run/goat.pid, μπορούν να αποκαλύψουν μόλυνση.
Συνιστάται επίσης να ρυθμίσετε την παρακολούθηση για κρυπτογραφημένα ωφέλιμα φορτία σε πακέτα ICMP και τη χρήση του ‘LD_PRELOAD’ στο περιβάλλον της διαδικασίας ‘ssdh’, η οποία είναι ασυνήθιστη συμπεριφορά που μπορεί να υποδεικνύει δραστηριότητα Pygmy Goat.
VIA: bleepingcomputer.com
