استفاده از بدافزار سفارشی “Pygmy Goat” در هک فایروال Sophos

security news

مرکز ملی امنیت سایبری بریتانیا (NCSC) تحلیلی از یک بدافزار لینوکس به نام «Pigmy Goat» منتشر کرده است که برای پشتیبانی دستگاه‌های فایروال Sophos XG به عنوان بخشی از حملات اخیر فاش شده توسط عوامل تهدید چینی ایجاد شده است.

Sophos اخیرا، مجموعه‌ای از گزارش‌ها را با نام «Pacific Rim» منتشر کرد که به جزئیات حملات پنج ساله توسط عوامل تهدید چینی به دستگاه‌های شبکه edge پرداخت. یکی از بدافزارهای سفارشی مورد استفاده در این حملات، روت‌کیتی است که برای به خطر انداختن دستگاه‌های شبکه طراحی شده و دارای مکانیسم‌های پایداری پیشرفته، فرار و دسترسی از راه دور است و ساختار کد و مسیرهای اجرایی نسبتاً پیچیده‌ای دارد.

اگرچه گزارش NCSC فعالیت مشاهده‌ شده را به عوامل تهدید شناخته‌شده نسبت نداد، اما بر تکنیک‌ها، تاکتیک‌ها و رویه‌های مشابه (TTP) به بدافزار «Castletap» تأکید می‌کند که Mandiant آن را با یک عامل دولتی چین مرتبط دانست. Sophos نیز در گزارش Pacific Rim خود، همین بدافزار را فاش کرد و گفت: روت کیت در حملات سال 2022 مرتبط با یک عامل تهدید چینی به نام “Tstark” استفاده شده است. “X-Ops دو نسخه از libsophos.so را شناسایی کرد که هر دو با استفاده از CVE-2022-1040 مستقر شدند.

https://www.bleepingcomputer.com/news/security/custom-pygmy-goat-malware-used-in-sophos-firewall-hack-on-govt-network/