Northwave网络安全公司发现针对Palo Alto Networks防火墙的复杂后门LITTLELAMB.WOOLTEA。该后门利用CVE-2024-9474漏洞入侵，通过恶意脚本bwmupdate安装，并伪装成合法的logd服务，实现持久化。它通过注入nginx进程动态链接库劫持accept()函数，使用“魔法敲击”建立隐蔽通信，无需开放新端口。后门功能强大，包括读写文件、远程命令执行、建立网络隧道及SOCKS5代理，并使用唯一标识符实现分级命令控制，其复杂性暗示可能为民族国家行为者所为。

🔑 LITTLELAMB.WOOLTEA后门利用CVE-2024-9474漏洞入侵Palo Alto防火墙，通过恶意脚本bwmupdate安装，并伪装成合法的logd服务，修改rc.local文件和RedHat软件包管理器配置，确保系统升级后仍能运行。

🛡️ 该后门通过注入nginx进程动态链接库，劫持accept()函数，利用48字节的“魔法敲击”建立隐蔽通信，无需开放新端口，而是利用现有开放端口，增强了隐蔽性，使其难以被检测。

🔗 后门功能强大，不仅可以读写目标系统上的文件，还能提供shell访问以执行远程命令，并建立单端口或多端口网络隧道，实现与其他被入侵节点的安全通信，同时还可设置SOCKS5代理进行秘密数据传输。

🌐 LITTLELAMB.WOOLTEA使用唯一标识符区分操作员连接与节点间通信，实现了分级命令和控制，方便在受感染设备网络中进行指挥，其高度通用的通信协议展现了其复杂性。

Northwave 网络安全公司发现了一个针对 Palo Alto Networks 防火墙的复杂后门 LITTLELAMB.WOOLTEA。该后门是在对一台被入侵的 Palo Alto Networks 设备进行取证调查时发现的。攻击者利用了 CVE-2024-9474，这是一个在攻击前刚刚公开披露的漏洞。威胁者利用这个入口点部署了一个名为 bwmupdate 的恶意脚本，安装了后门。Northwave 指出：“然后使用 execve() 执行该后门，用恶意进程完全取代任何正在运行的合法 logd 进程。”LITTLELAMB.WOOLTEA 在运行中体现了隐蔽性。它将自己伪装成合法的 logd 服务，并通过修改 rc.local 文件和更改 RedHat 软件包管理器的配置来确保其在系统升级后仍能继续运行。此外，后门还向nginx进程注入了一个动态链接库，劫持了accept()函数。这样，攻击者就可以使用 48 字节的 “魔法敲击 ”来建立隐蔽通信，而无需打开单独的端口。相反，它使用现有的开放端口，使检测变得更加困难。后门的功能包括：读写目标系统上的文件。为远程命令执行提供 shell 访问。建立单端口或多端口网络隧道，实现与其他被入侵节点的安全通信渠道。为秘密数据传输设置 SOCKS5 代理。Northwave 解释说：“后门支持在 shell 中运行命令。stdout 或 stderr 的输出会转发给用户…… ”确保对被入侵设备的强大控制。该后门程序实现了高度通用的通信协议。它使用唯一标识符将操作员连接与节点间通信区分开来，从而在受感染设备网络中实现分级命令和控制。LITTLELAMB.WOOLTEA 的复杂性表明是一个民族国家行为者所为，但其归属仍未得到证实。Northwave 指出：“在漏洞细节公开后不久，一名疑似民族国家威胁行为者通过 CVE2024-9474 进入了 Palo Alto 网络设备。”