惡意軟體Pygmy Goat鎖定Sophos防火牆而來,意圖入侵政府機關網路環境
支付動態 · 2024-11-06

英國國家網路安全中心(NCSC)發現後門程式Pygmy Goat活動,這項威脅專門埋伏於Sophos XG防火牆設備,NCSC在10月底釋出調查報告供IT人員強化防禦

駭客開發Linux惡意程式的情況,最近兩年越來越頻繁,其中又以針對VMware虛擬化平臺而來的勒索軟體較為常見,但如今,有人運用這方面的技術、鎖定特定廠牌的防火牆系統打造惡意軟體。

英國國家網路安全中心(NCSC)近日揭露名為Pygmy Goat的後門程式,他們在Sophos XG防火牆設備找到這支惡意軟體,此為32位元x86的ELF共用物件檔案,攻擊者設置LD_PRELOAD環境變數,從而透過SSH daemon(sshd)二進位檔案載入。

巧合的是,10月底Sophos才發布名為Pacific Rim的調查報告,指出該公司針對中國駭客近5年專門對邊界網路裝置發動攻擊進行追蹤,其中一種被鎖定的裝置就是該廠牌的防火牆。這樣的情況,不禁讓人聯想到中國駭客。

雖然NCSC並未透露使用Pygmy Goat從事攻擊行動的人士身分,但提及該惡意程式與另一支名為Castletap具備類似的戰術、手段、流程(TTP),經過資安業者Mandiant分析,使用Castletap的攻擊者身分很有可能就是中國駭客,這樣的情況,很難不讓人聯想Pygmy Goat也與中國駭客有關。

針對這個惡意程式的特性,NCSC指出,Pygmy Goat會產生使用ICMP協定的原生Socket,用來監控流入的封包,並在與C2連線的過程裡,使用AES加密的TCP封包,回傳IP位址及連接埠資訊。

再者,此惡意程式濫用LD_PRELOAD掛鉤Socket的特定功能,偷看特定SSH連接埠的流入流量,並重覆使用這種連線機制與C2通訊。另一方面,這支惡意程式還嵌入署名為FortiGate, Fortinet Ltd發布的CA憑證,想要冒充FortiGate防火牆而趁機到其他臺FortiGate當中執行,建立與C2之間的TLS連線。

一旦上述連線建立成功,攻擊者就能透過C2建立遠端Shell、啟動封包擷取、產生cron工作排程,或是設置SOCKS反向代理伺服器,而能傳送流量到防火牆後方的其他設備。

熱門文章
英國確認各垂直行業的賭博稅稅率
合規與政策
越南在線博彩業政策收緊 催生市場新機遇
東南亞資訊
印度最高法院受理公益訴訟,要求全國禁封「偽裝」成社交遊戲的賭博平台
合規與政策
巴西擬將博弈稅率提高至24% 稅收將用於社保與醫療領域
合規與政策
2027 Global Game Connect(GGC)斯里蘭卡招商全面啟動!業務人脈盡在掌握!
灰度頭條
菲律賓博彩技術賽道迎來新變局,B2B 供應模式加速滲透
東南亞資訊
橫跨全球6個城市,灰度8場派對邀你共看世界盃,重塑高質量社交新場景
灰度頭條
印第安納州在線賭場法案在眾議院委員會停滯不前
合規與政策
超級PAC籌資4800萬美元:體育博彩勢力加碼
合規與政策
斯里蘭卡博弈產業大轉型,官方:劍指南亞拉斯維加斯
合規與政策
亞洲遊戲市場觀察:15大市場熱門遊戲與用戶趨勢
網路遊戲
JILI 宣佈與全球板球傳奇 AB de Villiers(ABD)達成重磅戰略合作
體育遊戲
菲律賓網絡賭博和加密貨幣仍構成持續的洗錢風險
東南亞資訊
越南博彩管控逐步放寬,惟本土需求仍顯乏力
東南亞資訊
西班牙監管機構警告在線賭博平臺存在身份盜竊行為
合規與政策
首頁
遊戲
合作
發現
我的