A recente análise publicada pelo Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido revelou uma nova ameaça de malware Linux, conhecida como “Pygmy Goat”. Esse malware foi desenvolvido para criar backdoors em firewalls Sophos XG, explorando vulnerabilidades em dispositivos de rede e visava ataques de longa duração conduzidos por agentes de ameaça chineses.
Custom malware Pygmy Goat compromete firewalls Sophos XG em redes governamentais
Na última semana, a Sophos divulgou uma série de relatórios chamada “Pacific Rim,” detalhando uma campanha de cinco anos por atores de ameaças chineses que se concentraram em dispositivos de rede em empresas e órgãos governamentais. Um dos principais malwares utilizados, o Pygmy Goat, funciona como um rootkit, mascarando-se habilmente com nomes de arquivos que imitam os da Sophos. A empresa associou o uso desse rootkit a ataques de 2022 por um grupo de hackers conhecido como “Tstark.”
Estrutura e funcionamento do malware
O Pygmy Goat, que opera em dispositivos baseados em Linux, utiliza técnicas avançadas de persistência e evasão para se manter invisível em ambientes monitorados. Ele se infiltra através da variável de ambiente LD_PRELOAD, inserindo seu payload diretamente no processo de SSH (sshd), o que permite interceptar e modificar as funções de aceitação de conexão.
Esse malware monitora o tráfego SSH em busca de uma sequência específica de “bytes mágicos” nos primeiros 23 bytes de cada pacote. Ao detectar essa sequência, a conexão é marcada como sessão backdoor, e o tráfego é redirecionado para um socket Unix interno, estabelecendo comunicação com o servidor de Comando e Controle (C2).
Além do tráfego SSH, o Pygmy Goat também escuta pacotes ICMP com carga criptografada por AES, contendo informações de IP e porta para se conectar ao C2 por meio de TLS. Isso facilita a comunicação de maneira discreta, imitando dispositivos Fortinet para se disfarçar em redes onde esses aparelhos são comuns.
Comandos e ações permitidos
Os operadores do Pygmy Goat podem enviar comandos variados ao malware, incluindo:
- Abertura de shells usando /bin/sh ou /bin/csh;
- Captura de tráfego de rede via libpcap, com encaminhamento dos dados ao C2;
- Gerenciamento de tarefas cron com BusyBox, permitindo atividades agendadas;
- Uso do kit EarthWorm para criar um proxy reverso SOCKS5, escondendo o tráfego de rede.
Defesa e detecção
A NCSC recomenda medidas de defesa específicas contra o Pygmy Goat, incluindo monitoramento de hashes de arquivos, regras YARA e Snort para identificar a sequência de “bytes mágicos” e o falso handshake SSH. Verificações manuais nos locais de instalação do malware, como /lib/libsophos.so e /tmp/.sshd.ipc, também podem ajudar na detecção precoce.
Além disso, monitorar o uso incomum da variável LD_PRELOAD no processo sshd e pacotes ICMP com payloads criptografados são práticas recomendadas para identificar atividades suspeitas.