HomeSecurityPygmy Goat backdoor εντοπίστηκε σε παραβιασμένα Sophos XG Firewall

Pygmy Goat backdoor εντοπίστηκε σε παραβιασμένα Sophos XG Firewall

Οι ερευνητές του NCSC ανακάλυψαν ένα εξελιγμένο backdoor με την ονομασία “Pygmy Goat” που είχε αναπτυχθεί σε παραβιασμένες συσκευές Sophos XG Firewall.

Δείτε επίσης: Βορειοκορεάτες χάκερ χρησιμοποιούν το νέο VeilShell Backdoor

Pygmy Goat backdoor

Το κακόβουλο λογισμικό, που ανακαλύφθηκε από το Εθνικό Κέντρο Κυβερνοασφάλειας (NCSC), παρέχει στους εισβολείς μόνιμη πρόσβαση και ισχυρές δυνατότητες για να διατηρήσουν τη βάση τους στα δίκτυα των θυμάτων.

Το Pygmy Goat backdoor είναι ένα εγγενές κοινόχρηστο αντικείμενο x86-32 ELF που αξιοποιεί την τεχνική LD_PRELOAD για να εγχυθεί στη διαδικασία SSH daemon (sshd) των μολυσμένων συσκευών. Αυτό επιτρέπει στο κακόβουλο λογισμικό να συνδέει κρίσιμες λειτουργίες και να παρεμποδίζει την κυκλοφορία του δικτύου μέσω του τείχους προστασίας. Το backdoor χρησιμοποιεί πολλαπλές μεθόδους για τη δημιουργία επικοινωνιών εντολής και ελέγχου (C2).

Μπορεί να παρακολουθεί τα εισερχόμενα πακέτα ICMP για ειδικά δημιουργημένα μηνύματα που περιέχουν κρυπτογραφημένες πληροφορίες επανάκλησης. Επιπλέον, συνδέει τη συνάρτηση αποδοχής SSH για αναζήτηση μιας συγκεκριμένης ακολουθίας byte στις εισερχόμενες συνδέσεις, η οποία μπορεί να χρησιμοποιηθεί ως εναλλακτικό κανάλι C2.

Δείτε ακόμα: Spear-phishing καμπάνια μολύνει υπεύθυνους προσλήψεων με το backdoor More_eggs

Μόλις ενεργοποιηθεί, το Pygmy Goat backdoor, παρέχει στους εισβολείς μια σειρά δυνατοτήτων, όπως:

  • Δημιουργία απομακρυσμένων κελυφών (/bin/sh και /bin/csh)
  • Δημιουργία cron tasks για επιμονή
  • Λήψη πακέτων δικτύου
  • Δημιουργία αντίστροφου διακομιστή μεσολάβησης SOCKS για πρόσβαση σε εσωτερικά δίκτυα
Sophos XG Firewall

Το κακόβουλο λογισμικό χρησιμοποιεί κρυπτογράφηση TLS για επικοινωνίες C2 και επαληθεύει το πιστοποιητικό διακομιστή έναντι ενός ενσωματωμένου πιστοποιητικού CA που μεταμφιέζεται ως πιστοποιητικό από τη Fortinet. Αυτό υποδηλώνει ότι οι εισβολείς μπορεί να είχαν αρχικά αναπτύξει το backdoor για να στοχεύουν συσκευές FortiGate προτού την προσαρμόσουν για τα τείχη προστασίας της Sophos.

Οι ερευνητές παρατήρησαν ότι ενώ το Pygmy Goat backdoor δεν χρησιμοποιεί νέες τεχνικές, επιδεικνύει υψηλό επίπεδο πολυπλοκότητας στην ανάμειξη με την κανονική κυκλοφορία δικτύου και στην ανταπόκριση κατά παραγγελία σε εντολές εισβολέα.

Ο καθαρός, καλά δομημένος κώδικας υποδηλώνει ότι αναπτύχθηκε από έμπειρους κακόβουλους παράγοντες. Δεδομένου του κρίσιμου ρόλου αυτών των συσκευών στην ασφάλεια του δικτύου, η ανακάλυψη του Pygmy Goat στα Sophos XG Firewall είναι ιδιαίτερα ανησυχητική.

Δείτε επίσης: Loki: Ανακαλύφθηκε νέο επικίνδυνο backdoor

To backdoor είναι μια μέθοδος που χρησιμοποιείται συχνά στους υπολογιστές για την παράκαμψη κανονικών διαδικασιών ελέγχου ταυτότητας, αποκτώντας μη εξουσιοδοτημένη πρόσβαση σε συστήματα, προγράμματα ή συσκευές υπολογιστών. Συνήθως, τα backdoors δημιουργούνται μέσω της χρήσης κακόβουλου λογισμικού ή με την εκμετάλλευση υφιστάμενων τρωτών σημείων στο λογισμικό. Μόλις εγκατασταθεί, το backdoor επιτρέπει στο άτομο που το τοποθέτησε να έχει πρόσβαση στο σύστημα κρυφά, συχνά με πλήρη έλεγχο. Αυτό μπορεί να οδηγήσει σε κλοπή δεδομένων, χειραγώγηση συστήματος ή περαιτέρω εγκατάσταση κακόβουλου λογισμικού, καθιστώντας τα backdoor σημαντική απειλή για την ασφάλεια. Για να αντιμετωπιστεί αυτό, είναι απαραίτητα αυστηρά μέτρα κυβερνοασφάλειας, τακτικές ενημερώσεις συστήματος και ολοκληρωμένες διαδικασίες σάρωσης για τον εντοπισμό και την αποτροπή εγκαταστάσεων backdoor.

Πηγή: cybersecuritynews

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS