Le National Cyber Security Center (NCSC) du Royaume-Uni a publié une analyse d’un malware Linux nommé « Pigmy Goat » créé pour pirater des dispositifs de pare-feu Sophos XG dans le cadre d’attaques récemment divulguées par des acteurs chinois de la menace.
La semaine dernière, Sophos a publié une série de rapports surnommés « Pacific Rim » qui détaillaient les attaques sur cinq ans par des acteurs chinois de la menace sur les périphériques réseau périphériques.
L’un des logiciels malveillants personnalisés utilisés dans ces attaques est un rootkit qui imite étroitement les conventions de dénomination des fichiers de produit Sophos.
Le malware, conçu pour compromettre les périphériques réseau, dispose de mécanismes avancés de persistance, d’évasion et d’accès à distance et possède une structure de code et des chemins d’exécution assez complexes.
Bien que le rapport du NCSC n’attribue pas l’activité observée à des acteurs de la menace connus, il souligne des techniques, tactiques et procédures (TTP) similaires au logiciel malveillant « Castletap », que Mandiant a associé à un acteur de l’État-nation chinois.
Sophos a également divulgué le même malware dans son rapport Pacific Rim, indiquant que le rootkit a été utilisé dans des attaques de 2022 liées à un acteur de menace chinois connu sous le nom de « Tstark. »
« X-Ops a identifié deux copies de libsophos.so, tous deux déployés à l’aide de CVE-2022-1040 — l’un sur un appareil gouvernemental de haut niveau et l’autre sur un partenaire technologique du même service gouvernemental », a partagé Sophos.
Une chèvre dans le pare-feu
Le malware ‘Chèvre Pygmée’ est un objet partagé ELFE x86 – 32 (‘libsophos.so’) fournir aux auteurs de menaces un accès par porte dérobée à des périphériques réseau basés sur Linux tels que les pare-feu Sophos XG.
Il utilise la variable d’environnement LD_PRELOAD pour charger sa charge utile dans le démon SSH (sshd), ce qui lui permet de se connecter aux fonctions du démon et de remplacer la fonction accept, qui traite les connexions entrantes.
Pygmy Goat surveille le trafic SSH pour une séquence spécifique d ‘ »octets magiques » dans les 23 premiers octets de chaque paquet.
Une fois cette séquence trouvée, la connexion est identifiée comme une session de porte dérobée et le logiciel malveillant la redirige vers un socket Unix interne (/tmp/.SHDD.ipc) pour établir la communication avec son Commandement et son contrôle (C2).
Le malware écoute également sur un socket ICMP brut, en attente de paquets avec une charge utile cryptée AES qui contient des informations IP et de port pour la communication C2, ce qui déclenche une tentative de reconnexion via TLS.
La chèvre pygmée communique avec le C2 via TLS, à l’aide d’un certificat intégré imitant l’autorité de certification « FortiGate » de Fortinet, une couverture potentielle pour se fondre dans des environnements réseau où les périphériques Fortinet sont courants.
Lorsqu’une connexion SSH est établie, une fausse poignée de main avec des réponses prédéfinies est déclenchée pour créer une fausse image de légitimité sur les moniteurs réseau.
Le serveur C2 peut envoyer des commandes de Chèvre pygmée à exécuter sur l’appareil, notamment les suivantes:
- Ouvrez un shell /bin/sh ou /bin/csh.
- Commencez à capturer le trafic réseau via libpcap, en transmettant les résultats à C2.
- Gérez les tâches cron à l’aide de BusyBox pour planifier des activités lorsque l’acteur n’est pas activement connecté.
- Utilisez la boîte à outils open source EarthWorm pour établir un proxy inverse SOCKS5, permettant au trafic C2 de traverser le réseau sans être vu.
Détection et défense
Le rapport NCSC contient des hachages de fichiers et des règles YARA et Snort qui détectent les séquences d’octets magiques et la fausse poignée de main SSH, afin que les défenseurs puissent les utiliser pour détecter rapidement l’activité des chèvres pygmées.
De plus, des vérifications manuelles pour /lib / lab sophos.so, / tmp/.SHDD.cip, / tmp/.administrateur.ipc, /var / exécuter / sshd.pid et /var / run / goat.porc, peut révéler une infection.
Il est également conseillé de configurer la surveillance des charges utiles cryptées dans les paquets ICMP et l’utilisation de ‘LD_PRELOAD’ dans l’environnement du processus ‘ssdh’, ce qui est un comportement inhabituel qui peut indiquer une activité de Chèvre pygmée.