一项新的研究发现,一家大型软件开发公司,其软件被乌克兰的不同国家实体使用,该公司处于“不常见”恶意软件的接收端。
该恶意软件于2022年5月19日上午首次被发现,是称为GoMet的开源后门的自定义变体,旨在保持对网络的持久访问。
“这种访问可以通过多种方式利用,包括更深层次的访问或发起其他攻击,包括软件供应链受损的可能性,”思科Talos在与黑客新闻分享的一份报告中表示。
虽然没有具体的指标将攻击与单个行为者或团体联系起来,但这家网络安全公司的评估指出了俄罗斯的民族国家活动。
到目前为止,关于GoMet在现实世界攻击中使用GoMet的公开报告只发现了两个记录在案的案例:一个是在2020年,恰逢CVE-2020-5902的披露,CVE-2020-5902是F5的BIG-IP网络设备中的关键远程代码执行缺陷。
第二个实例导致今年早些时候一个未命名的高级持续性威胁(APT)组织成功利用了Sophos防火墙中的远程执行代码漏洞CVE-2022-1040。
“我们还没有看到GoMet部署在我们一直密切合作和监控的其他组织中,这意味着它以某种方式成为目标,但可能会针对我们不可见的其他目标使用,”Cisco Talos外展主管Nick Biasini告诉The Hacker News。
“我们还进行了相对严格的历史分析,在历史上很少使用GoMet,这进一步表明它正在以非常有针对性的方式使用。
顾名思义,GoMet是用Go编写的,并具有允许攻击者远程控制受感染系统的功能,包括上传和下载文件,运行任意命令,以及使用初始立足点通过所谓的菊花链传播到其他网络和系统。
植入物的另一个显着特征是它能够使用cron运行预定的作业。虽然原始代码配置为每小时执行一次cron作业,但攻击中使用的后门的修改版本构建为每两秒运行一次,并确定恶意软件是否连接到命令和控制服务器。
“我们最近看到的大多数攻击都与直接或通过凭证获取访问有关,”Biasini说。“这是GoMet被部署为后门的另一个例子。
“一旦建立了访问,就可以进行额外的侦察和更彻底的行动。我们正在努力在攻击进入此阶段之前将其杀死,因此很难预测后续攻击的类型。
留言与评论(共有 0 条评论) “” |