Backdoor-ul Pygmy Goat implementat pe firewall-ul Sophos XG

Un nou backdoor complex denumit Pygmy Goat a fost identificat și implementat pe dispozitivele firewall Sophos XG compromise.

Programul malware oferă atacatorilor acces persistent și capacități avansate în vederea menținerii în cadrul rețelelor vizate.

Pygmy Goat este un obiect partajat nativ x86-32 ELF care utilizează tehnica LD_PRELOAD pentru a se injecta în procesul SSH daemon (sshd) al dispozitivelor infectate.

Acest lucru permite malware-ului să exploateze funcții critice și să intercepteze traficul de rețea prin firewall. Backdoor-ul utilizează mai multe metode pentru a stabili comunicații de comandă și control (C2).

Acesta poate monitoriza pachetele ICMP de intrare pentru mesaje malițioase ce conțin informații criptate callback.

În plus, acesta utilizează funcția de acceptare SSH pentru a căuta o anumită secvență de octeți în conexiunile primite, care poate fi utilizată ca un canal C2 alternativ.

Odată activat, Pygmy Goat oferă atacatorilor o serie de capabilități, inclusiv:

• Crearea de shell-uri la distanță (/bin/sh și /bin/csh);
• Crearea de sarcini cron pentru persistență;
• Captarea pachetelor de rețea;
• Stabilirea unui reverse proxy SOCKS pentru a accesa rețelele interne.

Programul malware utilizează criptarea TLS pentru comunicațiile C2 și verifică certificatul serverului în raport cu un certificat CA încorporat, mascat drept unul de la Fortinet.

Acest lucru sugerează că atacatorii ar fi putut dezvolta inițial backdoor-ul pentru a viza dispozitivele FortiGate înainte de a-l adapta pentru firewall-urile Sophos.

Ca apărare perimetrală, firewall-urile compromise pot oferi atacatorilor un punct de sprijin persistent și vizibilitate asupra întregului trafic care intră și iese din rețea.

Organizațiile care utilizează firewall-uri Sophos XG trebuie să verifice imediat dacă există indicatori de compromitere și să aplice orice actualizări de securitate disponibile.

Indicatorii cheie includ prezența unor fișiere suspecte precum „/lib/libsophos.so” și socket-uri Unix neobișnuite precum „/tmp/.sshd.ipc”.

Deși inițial a fost descoperit pe dispozitive Sophos, specialiștii avertizează că designul lui Pygmy Goat sugerează că ar putea viza o gamă mai largă de dispozitive de rețea bazate pe Linux.

Flexibilitatea malware-ului și utilizarea de elemente cu tematică FortiGate indică faptul că atacatorii își pot extinde atenția asupra mai multor furnizori de firewall-uri.

Sursă: https://cybersecuritynews.com/pygmy-goat-network-device-backdoor/