威脅者使用 GoMet 后門攻擊烏克蘭的軟件公司
威脅者使用 GoMet 后門攻擊烏克蘭的軟件公司
威脅者使用 GoMet 后門針對烏克蘭的一家大型軟件開發公司。
來自 Cisco Talos 的研究人員發現了一種不常見的惡意軟件,該惡意軟件被用于針對烏克蘭一家大型軟件開發公司的攻擊。
這家軟件開發公司生產的軟件供烏克蘭的各個國家組織使用。
研究人員認為,攻擊者可能與俄羅斯有關,并以該公司為目標,企圖發動供應鏈攻擊。目前尚不清楚攻擊是否成功。對惡意代碼的分析表明,它是“ GoMet ”開源后門的略微修改版本。
Talos 研究人員指出,只有兩個記錄在案的高級威脅參與者使用此后門的案例。第一次發生在 2020 年,攻擊者通過利用 F5 BIG-IP 中的 CVE-2020-5902 漏洞破壞了網絡后放棄了這個后門。最近第二次涉及后門,攻擊者在成功利用Sophos Firewall中的CVE-2022-1040漏洞后部署了惡意軟件。
最初的 GoMet 于 2019 年 3 月 31 日在 GitHub 上發布,直到 2019 年 4 月 2 日才提交,但作者自首次出現以來沒有添加任何功能。
“后門本身是一個用 Go 編程語言編寫的相當簡單的軟件。它幾乎包含攻擊者在遠程控制代理中可能想要的所有常用功能。代理可以部署在各種操作系統 (OS) 或架構(amd64、arm 等)上。GoMet 支持作業調度(通過 Cron 或任務調度程序,具體取決于操作系統)、單個命令執行、文件下載、文件上傳或打開 shell。” 讀取分析由 Talos 出版。“GoMet 的另一個顯著特點在于其菊花鏈能力——攻擊者借此獲得對網絡或機器的訪問權限,然后使用相同的信息訪問多個網絡和計算機——從一個植入的主機連接到另一個。這樣的功能可以允許從其他完全“孤立”的主機與互聯網進行通信。”
研究人員注意到攻擊者更改了攻擊中使用的版本,特別是,cronjob 被配置為每兩秒運行一次,而不是每小時運行一次。如果連接失敗,此更改可防止長達一小時的睡眠。
另一個變化與惡意軟件在 C2 無法訪問時執行的操作有關,它將休眠 5 到 10 分鐘之間的隨機時間。
Talos 研究人員發現了這個后門的兩個樣本,它們有細微的差別,但很可能使用相同的源代碼。
“我們檢測到的惡意活動包括由 GoMet 投放器創建的虛假 Windows 更新計劃任務。此外,該惡意軟件使用了一種有些新穎的持久性方法。它列舉了自動運行的值,而不是創建一個新的值,而是用惡意軟件替換了一個現有的好軟件自動運行可執行文件。這可能會避免檢測或阻礙法醫分析。” 繼續報告。
Talos 檢測到的樣本具有硬編碼的 C2 的 IP 地址 (111.90.139[.]122),并通過默認端口上的 HTTPS 聯系它。
服務器使用 2021 年 4 月 4 日頒發的自簽名證書。
“在這種情況下,我們看到一家軟件公司的目標是一個后門,旨在實現額外的持久訪問。我們還觀察到威脅參與者采取積極措施,通過混淆樣本和利用新的持久性技術來防止檢測到他們的工具。這種訪問可以通過多種方式加以利用,包括更深入的訪問或發起額外的攻擊,包括軟件供應鏈受損的可能性。” 報告結束。“這提醒我們,盡管網絡活動未必上升到許多人預期的水平,但烏克蘭仍然面臨著一個資金充足、堅定的對手,可以以各種方式造成損害——這只是其中最新的例子。嘗試。”
作者: 皮爾路易吉·帕格尼尼
