一项新的研究发现，一家大型软件开发公司，其软件被乌克兰的不同国家实体使用，该公司处于“不常见”恶意软件的接收端。

该恶意软件于2022年5月19日上午首次被发现，是称为GoMet的开源后门的自定义变体，旨在保持对网络的持久访问。

“这种访问可以通过多种方式利用，包括更深层次的访问或发起其他攻击，包括软件供应链受损的可能性，”思科Talos在与黑客新闻分享的一份报告中表示。

虽然没有具体的指标将攻击与单个行为者或团体联系起来，但这家网络安全公司的评估指出了俄罗斯的民族国家活动。

到目前为止，关于GoMet在现实世界攻击中使用GoMet的公开报告只发现了两个记录在案的案例：一个是在2020年，恰逢CVE-2020-5902的披露，CVE-2020-5902是F5的BIG-IP网络设备中的关键远程代码执行缺陷。

第二个实例导致今年早些时候一个未命名的高级持续性威胁（APT）组织成功利用了Sophos防火墙中的远程执行代码漏洞CVE-2022-1040。

“我们还没有看到GoMet部署在我们一直密切合作和监控的其他组织中，这意味着它以某种方式成为目标，但可能会针对我们不可见的其他目标使用，”Cisco Talos外展主管Nick Biasini告诉The Hacker News。

“我们还进行了相对严格的历史分析，在历史上很少使用GoMet，这进一步表明它正在以非常有针对性的方式使用。

顾名思义，GoMet是用Go编写的，并具有允许攻击者远程控制受感染系统的功能，包括上传和下载文件，运行任意命令，以及使用初始立足点通过所谓的菊花链传播到其他网络和系统。

植入物的另一个显着特征是它能够使用cron运行预定的作业。虽然原始代码配置为每小时执行一次cron作业，但攻击中使用的后门的修改版本构建为每两秒运行一次，并确定恶意软件是否连接到命令和控制服务器。

“我们最近看到的大多数攻击都与直接或通过凭证获取访问有关，”Biasini说。“这是GoMet被部署为后门的另一个例子。

“一旦建立了访问，就可以进行额外的侦察和更彻底的行动。我们正在努力在攻击进入此阶段之前将其杀死，因此很难预测后续攻击的类型。