İngiltere'nin Ulusal Siber Güvenlik Merkezi (NCSC), Çin tehdit aktörleri tarafından yakın zamanda açıklanan saldırıların bir parçası olarak Backdoor Sophos XG güvenlik duvarı cihazlarına göre oluşturulan "Pigmy Keçi" adlı bir Linux kötü amaçlı yazılımının bir analizini yayınladı.
Geçen hafta Sophos, "Pasifik Rim" olarak adlandırılan bir dizi rapor yayınladı ve Çin tehdit aktörleri tarafından Edge Networking Cihazları'ndaki beş yıllık saldırıları ayrıntılı olarak yayınladı.
Bu saldırılarda kullanılan özel kötü amaçlı yazılımlardan biri, Sophos ürün dosyası adlandırma kurallarını yakından taklit eden bir rootkittir.
Ağ cihazlarından ödün vermek için tasarlanan kötü amaçlı yazılım, gelişmiş kalıcılık, kaçırma ve uzaktan erişim mekanizmalarına sahiptir ve oldukça karmaşık bir kod yapısına ve yürütme yollarına sahiptir.
NCSC raporu, gözlemlenen etkinliği bilinen tehdit aktörlerine atfetmese de, Mantiant'ın Çin ulus devlet aktörüyle ilişkilendirdiği "Castletap" kötü amaçlı yazılımına benzer teknikler, taktikler ve prosedürlerin (TTPS) altını çiziyor.
Sophos ayrıca Pasifik Rim raporunda aynı kötü amaçlı yazılımları açıkladı ve rootkit'in "TSTark" olarak bilinen bir Çin tehdit aktörüne bağlı 2022 saldırılarında kullanıldığını belirtti.
Sophos, "X-ops, her ikisi de CVE-2022-1040 kullanılarak dağıtılan Libsophos.so'nun iki kopyasını tanımladı-biri üst düzey bir hükümet cihazında, diğeri de aynı hükümet departmanına bir teknoloji ortağında."
'Cugmy Keçi' kötü amaçlı yazılım, Sophos XG güvenlik duvarları gibi Linux tabanlı ağ cihazlarına arka kapı erişimine sahip tehdit aktörlerine sağlayan bir X86-32 ELF paylaşılan nesne ('libsophos.so').
Yükünü SSH Daemon'a (SSHD) yüklemek için LD_PRELOAD ortam değişkenini kullanır, bu da daemon'un işlevlerine bağlanmasına ve gelen bağlantıları işleyen kabul işlevini geçersiz kılmasına izin verir.
Cugmy keçi, her paketin ilk 23 baytında belirli bir "sihir bayt" dizisi için SSH trafiğini izler.
Bu dizi bulunduktan sonra, bağlantı bir arka kapı oturumu olarak tanımlanır ve kötü amaçlı yazılım, komut ve kontrolü (C2) ile iletişim kurmak için bir dahili UNIX soketine (/tmp/.sshd.ipc) yönlendirir.
Kötü amaçlı yazılım ayrıca, TL'ler üzerinde bir bağlantı denemesini tetikleyen C2 iletişimi için IP ve bağlantı noktası bilgilerini tutan AES şifreli bir yüke sahip paketleri bekleyen ham bir ICMP soketini dinler.
Cugmy Keçi, Fortinet cihazlarının yaygın olduğu ağ ortamlarına karışmak için potansiyel bir kapak olan Fortinet'in "Fortigate" CA'yı taklit eden gömülü bir sertifika kullanarak C2 ile TLS üzerinden iletişim kurar.
Bir SSH bağlantısı kurulduğunda, ağ monitörlerinde yanlış bir meşruiyet görüntüsü oluşturmak için önceden ayarlanmış yanıtlara sahip sahte bir el sıkışma tetiklenir.
C2 sunucusu, aşağıdakiler de dahil olmak üzere cihazda yürütme için cummy keçi komutları gönderebilir:
NCSC raporu, sihirli bayt dizilerini ve sahte SSH el sıkışmasını tespit eden dosya karma ve yara ve snort kuralları içerir, böylece savunucular bunları cüce keçi aktivitesini erkenden yakalamak için kullanabilirler.
Ek olarak, /lib/libsophos.so, /tmp/.sshd.ipc, /tmp/.fgmon_cli.ipc, /var/run/goat.pid ve /var/run/goat.pid için manuel kontroller, bir enfeksiyon.
Ayrıca, ICMP paketlerinde şifrelenmiş yükler için izlemenin ve 'SSDH' sürecinin ortamında 'LD_PRELOAD' kullanımının ayarlanması tavsiye edilir;
Yeni kimlik avı saldırılarında backdoed Linux VM'lerle enfekte olan pencereler
Yeni FastCash kötü amaçlı yazılım Linux varyantı ATM'lerden para çalmaya yardımcı olur
Linux kötü amaçlı yazılım “perfctl” yıllarca süren kriptominasyon kampanyasının arkasında
Yeni Romcom kötü amaçlı yazılım varyantı 'Snipbot' Veri hırsızlığı saldırılarında tespit edildi
Yeni Linux Kötü Yazılım Hadooken Hedefleri Oracle WebLogic Sunucular
Kaynak: Bleeping Computer