Um grupo de hackers chineses está comprometendo o daemon SSH em dispositivos de rede ao injetar malware no processo para obter acesso persistente e realizar operações encobertas.
O conjunto de ataques recém-identificado tem sido utilizado em ataques desde meados de novembro de 2024, atribuído ao grupo de ciberespionagem chinês Evasive Panda, também conhecido como DaggerFly.
Segundo as descobertas dos pesquisadores da Fortinet's Fortiguard, o conjunto de ataques recebeu o nome de "ELF/Sshdinjector.A!tr" e consiste em uma coleção de malware injetado no daemon SSH para realizar uma ampla gama de ações.
A Fortiguard informa que o ELF/Sshdinjector.A!tr foi utilizado em ataques contra dispositivos de rede, mas embora tenha sido documentado anteriormente, não existem relatórios analíticos sobre como ele funciona.
Os atores da ameaça Evasive Panda estão ativos desde 2012 e foram recentemente expostos por conduzirem ataques implantando um novo backdoor para macOS, realizando ataques à cadeia de suprimentos via provedores de internet na Ásia e coletando inteligência de organizações dos EUA em uma operação de quatro meses.
Enquanto a Fortiguard não compartilhou como os dispositivos de rede são inicialmente violados, uma vez comprometidos, um componente dropper verifica se o dispositivo já está infectado e se está sendo executado com privilégios de root.
Se as condições forem atendidas, vários binários, incluindo uma biblioteca SSH (libssdh.so), serão depositados na máquina-alvo.
Este arquivo atua como o principal componente de backdoor, responsável pelas comunicações de comando e controle (C2) e exfiltração de dados.
Outros binários, como 'mainpasteheader' e 'selfrecoverheader', ajudam os atacantes a garantir persistência nos dispositivos infectados.
A biblioteca SSH maliciosa é injetada no daemon SSH e, em seguida, aguarda comandos vindos do C2 para realizar reconhecimento do sistema, roubo de credenciais, monitoramento de processos, execução remota de comandos e manipulação de arquivos.
Os quinze comandos suportados são:
1.Coletar detalhes do sistema como nome do host e endereço MAC e exfiltrá-los.
2.Listar serviços instalados verificando arquivos em /etc/init.d.
3.Ler dados sensíveis de usuários de /etc/shadow.
4.Recuperar uma lista de todos os processos ativos no sistema.
5.Tentar acessar /var/log/dmesg para logs do sistema.
6.Tentar ler /tmp/fcontr.xml para dados potencialmente sensíveis.
7.Listar conteúdos de um diretório especificado.
8.Subir ou baixar arquivos entre o sistema e o atacante.
9.Abrir um shell remoto para dar ao atacante acesso completo via linha de comando.
10.Executar qualquer comando remotamente no sistema infectado.
11.Parar e remover o processo malicioso da memória.
12.Deletar arquivos específicos do sistema.
13.Renomear arquivos no sistema.
14.Notificar o atacante de que o malware está ativo.
15.Enviar informações do sistema roubadas, listas de serviços e credenciais de usuários.
A Fortiguard também observou que utilizou ferramentas assistidas por IA para engenharia reversa e análise desse malware.
Embora isso não tenha sido isento de problemas significativos como alucinação, extrapolação e omissões, a ferramenta mostrou potencial promissor.
"Embora os desmontadores e decompiladores tenham melhorado ao longo da última década, isso não pode ser comparado ao nível de inovação que estamos vendo com a IA", comentaram os pesquisadores da Fortinet.
A Fortinet diz que seus clientes já estão protegidos contra este malware por meio de seu serviço FortiGuard AntiVirus, que detecta as ameaças como ELF/Sshdinjector.A!tr e Linux/Agent.ACQ!tr.
Os pesquisadores também compartilharam hashes de amostras enviadas para o VirusTotal [1, 2, 3].
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...