黑客利用GoMet后门攻击乌克兰软件公司

一项新的研究发现，乌克兰一家大型软件开发公司的软件被不同的国家实体使用，该公司正处于一种“罕见”的恶意软件的接收端。

该恶意软件于2022年5月19日上午首次被观察到，是开源后门GoMet的自定义变体，旨在保持对网络的持久访问。

Cisco Talos在与《黑客新闻》分享的一份报告中表示：“这种访问可以通过多种方式加以利用，包括更深入的访问或发起额外的攻击，包括软件供应链受损的可能性”。

虽然没有具体的指标将此次袭击与某个行为体或团体联系起来，但这家网络安全公司的评估指向了俄罗斯民族国家的活动。

到目前为止，公开报告GoMet在现实世界攻击中的使用情况只发现了两个有记录的案例：一个发生在2020年，与CVE-2020-5902的披露相吻合，CVE-2020-5902是F5的BIG-IP网络设备中的一个关键远程代码执行缺陷。

第二个实例是今年早些时候，一个未命名的高级持久性威胁（APT）组织成功利用了Sophos防火墙中的远程代码执行漏洞CVE-2022-1040。

思科Talos外联负责人尼克·比亚西尼（Nick Biasini）告诉《黑客新闻》（Hacker News），“我们还没有看到GoMet部署在我们密切合作和监控的其他组织中，这意味着它在某种程度上是有针对性的，但可能被用于对付我们不了解的其他目标”。

“我们还进行了相对严格的历史分析，历史上很少使用GoMet，这进一步表明它正在以非常有针对性的方式使用”。

顾名思义，GoMet是用Go编写的，具有允许攻击者远程控制受损系统的功能，包括上传和下载文件、运行任意命令，以及使用初始立足点通过所谓的菊花链传播到其他网络和系统。

该移植程序的另一个显著特点是能够使用cron运行计划的作业。虽然原始代码被配置为每小时执行一次cron作业，但攻击中使用的后门的修改版本被构建为每两秒运行一次，并确定恶意软件是否连接到命令和控制服务器。

比亚西尼说：“我们最近看到的大多数攻击都与访问有关，直接或通过获取凭据”。“这是GoMet被部署为后门的另一个例子”。

“一旦建立了通道，就可以进行额外的侦察和更彻底的行动。我们正在努力在攻击达到这一阶段之前消灭它们，因此很难预测后续攻击的类型”。

调查结果发布之际，美国网络司令部周三公布了与近几个月针对乌克兰网络的GrimPlant、GraphSteel、Cobalt Strike Beacon和MicroBackdoor等不同类型恶意软件有关的泄露指标。

此后，网络安全公司Mandiant将网络钓鱼攻击归因于被追踪的两名间谍行为人UNC1151（又名Ghostwriter）和UNC2589，后者涉嫌“支持俄罗斯政府利益，并一直在乌克兰进行广泛的间谍收集”