英国国家网络安全中心 （NCSC） 发现了一个名为 UMBRELLA STAND 的新恶意软件活动，揭示了一个通过隐蔽后门访问和加密通信针对 Fortinet FortiGate 100D 防火墙的复杂框架。这一发现引发了人们对针对关键网络基础设施的持续网络间谍活动的严重担忧。

根据该报告，“UMBRELLA STAND 是一组参与者二进制文件，可能通过利用目标设备中的安全漏洞来部署……旨在促进对给定目标网络的长期访问。该恶意软件旨在在嵌入式设备中运行，使攻击者能够执行 shell 命令、配置命令和控制 （C2） 服务器并纵系统行为——同时在很大程度上未被发现。

该恶意软件由几个相互关联的组件组成，包括：

blghtd – 主网络和任务二进制文件jvnlpe – 确保 blghtd 持久性的看门狗进程cisz – 初始设置和加载器模块libguic.so – LD_PRELOAD共享对象以加载其他组件reboot_hooker – 挂接到重启进程以实现持久性a – 基于 AES 的文件加密器/解密器BusyBox、nbtscan、tcpdump – 帮助网络侦查和数据泄露的公共设施

NCSC 指出，“已观察到 UMBRELLA STAND 与一组公开可用的工具一起部署，包括：BusyBox、nbtscan、tcpdump 和 openLDAP。

该恶意软件的突出特点之一是它在端口 443 上使用虚假的 TLS 信标来掩盖与其 C2 基础设施的通信。尽管模仿了合法的 TLS 1.0 标头 （17 03 01），但没有发生真正的握手。这种策略被归类为 MITRE ATT&CK T1001.003（协议模拟）。

“观察使用 TLS 数据响应而不执行握手的服务器可能表明存在可疑活动，”NCSC 报告警告说。

该恶意软件使用 AES-CBC 加密和固定的 IV 来存储其消息，并通过主机名的翻转 CRC32 哈希来识别受感染的主机，从而允许 C2 保持会话持久性。

UMBRELLA STAND 支持广泛的命令和数据泄露功能：

Shell 命令执行（通过 BusyBox/ash）以 6000 字节的块读取文件使用 .ini 文件的命令分块和异步执行跟踪信标间隔重新配置和 C2 地址覆盖

UMBRELLA STAND 经过精心设计，可在重启后继续运行并通过以下方式逃避管理检测：

Reboot hooking — 在系统重启时执行加载程序二进制文件ld.so.preload 劫持 — 利用动态链接器注入隐藏目录 — 例如 /data2/.ztls/进程伪装 — 将进程名称替换为 /bin/httpsd

“UMBRELLA STAND 修改了其进程名称……可执行文件名称和假字符串之间的任何长度差异都用空字节填充，”报告详细说明。

此外，FortiOS 的原生安全功能被重新利用，通过在 sysctl 二进制文件中滥用字符串替换来隐藏恶意软件的存在。

关键入侵指标 （IOC） 包括：

C2 IP：89.44.194.32隐藏路径：/data2/.ztls/AES 加密堆栈字符串伪装的进程名称：/bin/httpsd注入工具：到 PID 1 中（init 进程）SYSV664564856

NCSC 还发布了几条强大的 YARA 规则来检测恶意软件的加密和纯文本变体，确保防御者即使应用了混淆也可以捕捉到威胁的迹象。

有趣的是，NCSC 指出“在 UMBRELLA STAND 和 COATHANGER 中观察到的加载组件之间具有相当大的相似性。”两种菌株都利用了持久的钩子机制和模块化的二进制加载器，表明了共享的工具链或开发谱系。