Un grupo de piratería chino desvía el demonio SSH de los dispositivos de red inyectando software malicioso en el proceso de acceso persistente y operaciones secretas.
La suite de ataque recientemente identificada se ha utilizado en ataques desde mediados de noviembre de 2024, atribuido al grupo de escape chino, Alias Daggerfly, Cyber-Hopeing Group.
Según los resultados del Fortiguard de los investigadores de Fortinet, la secuencia de ataque se llama “elf / sshdinject.a! Tr” y consiste en una colección de malware inyectado en el demonio SSH para realizar una amplia gama de acciones.
Fortiguard dice que elf / sshdinjector.a! TR se usó en ataques contra dispositivos de red, pero aunque se documentó anteriormente, no existe una relación analítica en su operación.
Los actores evasivos en la amenaza de panda han estado activos desde 2012 y recientemente han sido expuestos por haber realizado ataques para desplegar una nueva puerta robada de macOS, llevando a cabo ataques de la cadena de suministro a través de ISA en Asia y la recopilación de información con organizaciones estadounidenses en un cuatro meses de cuatro meses. operación.
Orientación
Aunque Fortiguard no explicó cómo se violan inicialmente los dispositivos de red, una vez comprometidos, un componente desplegable verifica si el dispositivo ya está infectado y si funciona bajo privilegios de raíz.
Si se cumplen las condiciones, se depositarán varios binarios, incluida una biblioteca SSH (libssdh.so) en la máquina de destino.
Este archivo actúa como el principal componente de la puerta robada, responsable de las comunicaciones de control y control (C2) y la exfiltración de datos.
Otros binarios, como “Main Paste Header” y “SelfreCoverheader”, ayudan a los atacantes a garantizar la persistencia de dispositivos infectados.
Fuente: Fortiguard
La biblioteca SSH maliciosa se inyecta en el demonio SSH, luego espera los comandos entrantes del C2 para llevar a cabo el reconocimiento del sistema, el vuelo de identificación, el monitoreo de los procesos, la ejecución de los controles remotos y la manipulación de archivos,
Los quince comandos compatibles son:
- Recopile los detalles del sistema, como el nombre del host y la dirección MAC y el exfilter.
- Lista de servicios instalados revisando los archivos en /etc/init.d.
- Lea los datos del usuario confidenciales de / etc / shadow.
- Recupere una lista de todos los procesos activos del sistema.
- Pruebe el acceso / var / log / dmesg para los periódicos del sistema.
- Intente leer /tmp/fcontr.xml para obtener datos sensibles potenciales.
- Enumere el contenido de un directorio especificado.
- Descargue o descargue archivos entre el sistema y el atacante.
- Abra un shell remoto para dar al atacante acceso completo a la línea de comando.
- Ejecute cualquier control remoto en el sistema infectado.
- Detente y retire el proceso de memoria maliciosa.
- Eliminar archivos de sistema específicos.
- Cambie el nombre de los archivos en el sistema.
- Informe al atacante que el malware está activo.
- Envíe información del sistema robado, listas de servicios e información de identificación del usuario.
Fortiguard también señaló que usó herramientas asistidas por IA para locos y analizar este malware. Aunque esto no está libre de problemas importantes como la alucinación, la extrapolación y las omisiones, la herramienta ha mostrado un potencial prometedor.
“Aunque los demonios y los descompiladores han mejorado en la última década, esto no se puede comparar con el nivel de innovación que vemos con IA”, comentaron los investigadores de Fortinet.
Fortinet dice que sus clientes ya están protegidos contra este software malicioso gracias a su servicio antivirus Fortiguard, que detecta amenazas como Elf / sshdinjector.a ! TR Y Linux / Agent.Acq! TR.
Los investigadores también compartieron cazas para muestras descargadas de Virustotal [1, 2, 3].