Northwave 网络安全公司发现了一个针对 Palo Alto Networks 防火墙的复杂后门 LITTLELAMB.WOOLTEA。

该后门是在对一台被入侵的 Palo Alto Networks 设备进行取证调查时发现的。攻击者利用了 CVE-2024-9474，这是一个在攻击前刚刚公开披露的漏洞。威胁者利用这个入口点部署了一个名为 bwmupdate 的恶意脚本，安装了后门。Northwave 指出：“然后使用 execve() 执行该后门，用恶意进程完全取代任何正在运行的合法 logd 进程。”

LITTLELAMB.WOOLTEA 在运行中体现了隐蔽性。它将自己伪装成合法的 logd 服务，并通过修改 rc.local 文件和更改 RedHat 软件包管理器的配置来确保其在系统升级后仍能继续运行。

此外，后门还向nginx进程注入了一个动态链接库，劫持了accept()函数。这样，攻击者就可以使用 48 字节的 “魔法敲击 ”来建立隐蔽通信，而无需打开单独的端口。相反，它使用现有的开放端口，使检测变得更加困难。

后门的功能包括：

• 读写目标系统上的文件。
• 为远程命令执行提供 shell 访问。
• 建立单端口或多端口网络隧道，实现与其他被入侵节点的安全通信渠道。
• 为秘密数据传输设置 SOCKS5 代理。

Northwave 解释说：“后门支持在 shell 中运行命令。stdout 或 stderr 的输出会转发给用户…… ”确保对被入侵设备的强大控制。

该后门程序实现了高度通用的通信协议。它使用唯一标识符将操作员连接与节点间通信区分开来，从而在受感染设备网络中实现分级命令和控制。

LITTLELAMB.WOOLTEA 的复杂性表明是一个民族国家行为者所为，但其归属仍未得到证实。Northwave 指出：“在漏洞细节公开后不久，一名疑似民族国家威胁行为者通过 CVE2024-9474 进入了 Palo Alto 网络设备。”