Sophos防火墙设备遭受Pygmy Goat后门攻击

主要要点

• Sophos XG防火墙设备被先进且隐秘的Pygmy Goat后门感染。
• Pygmy Goat利用加密的ICMP数据包进行通信，并伪装成合法的SSH连接来隐藏恶意流量。
• 据英国国家网络安全中心(NCSC)的报告，其他基于Linux的网络设备也可能受到Pygmy Goat的攻击。
• Pygmy Goat的代码结构良好，显示出其开发者具备相当的专业技能。

根据的报道，多个SophosXG防火墙设备已经被先进且隐秘的PygmyGoat后门攻击。这种后门不仅利用加密的ICMP数据包进行通信，还将恶意流量伪装成合法的SSH连接，从而逃避检测。

根据英国国家网络安全中心(NCSC)的报告，PygmyGoat可能还针对其他基于Linux的网络设备。报告显示，攻击者使用了伪造的Fortinet证书、两个远程Shell以及多种沟通唤醒技术。NCSC表示：“尽管PygmyGoat并未包含任何新奇的技术，但它的复杂性体现在如何使攻击者能够按需与其交互，同时与正常网络流量融为一体。代码本身简洁，结构良好，简短的函数有助于未来的扩展，并且在整个过程中都检查了错误，表明它是由一位或多位专业开发人员编写的。”

这种分析是在的基础上进行的，该报告详细描述了网络安全公司部署专有植入物以监控和防御针对其产品零日漏洞的中国国家支持攻击者。