Kinijos kibernetiniai rinkiniai naudoja naują SSH užpakalinį duris tinklo įrenginių įsilaužimuose

Kinijos įsilaužimo grupė užgrobia „SSH Daemon“ tinklo prietaisuose, įpurškdama kenkėjišką programą į nuolatinės prieigos ir slaptų operacijų procesą.

Naujai nustatytas atakos rinkinys buvo naudojamas atakose nuo 2024 m. Lapkričio vidurio, priskiriamas Kinijos evazuojančiai „Panda“, dar žinomai kaip „Daggerfly“, „Cyber-Athionage Group“.

Remiantis „Fortinet“ „Fortiguard“ tyrėjų išvadomis, „Attack Suite“ yra pavadintas „ELF/SSHDInjector.A! Tr“ ir susideda iš kenkėjiškų programų kolekcijos, įšvirkštos į SSH demoną, kad atliktų platų veiksmų spektrą.

„Fortiguard“ sako, kad „ELF/SSHDInjector.A! Tr“ buvo naudojamas atakose prieš tinklo prietaisus, tačiau, nors anksčiau buvo dokumentuota, analitinių pranešimų nėra.

„Evazive Panda“ grėsmės veikėjai buvo aktyvūs nuo 2012 m. Ir neseniai buvo eksponuojami vykdant išpuolius, dislokuojančius naują „MacOS“ užpakalį, vykdydami tiekimo grandinės išpuolius per IPT Azijoje, ir rinkti žvalgybą iš JAV organizacijų keturių mėnesių trukmės operacija.

TIKSLINIMAS SSHD

Nors „Fortiguard“ nesidalijo, kaip iš pradžių pažeidžiami tinklo prietaisai, kai tik kenkia, lašintuvų komponentas patikrina, ar įrenginys jau užkrėstas ir ar jis veikia pagal šaknines privilegijas.

Jei bus įvykdytos sąlygos, keli dvejetai, įskaitant SSH biblioteką (libssdh.so), bus numestos į tikslinę mašiną.

Šis failas veikia kaip pagrindinis užpakalinio durų komponentas, atsakingas už komandų ir valdymo (C2) ryšius ir duomenų eksfiltraciją.

Kiti dvejetai, tokie kaip „MainPasteheader“ ir „Selfrecoverheader“, padeda užpuolikams užtikrinti užkrėstų prietaisų atkaklumą.

Kenkėjiška SSH biblioteka įšvirkščiama į SSH demoną ir tada laukia gaunamų komandų iš C2, kad atliktų sistemos žvalgybą, kredencialų vagystę, proceso stebėjimą, nuotolinio komandų vykdymą ir manipuliavimą failais.

Penkiolika palaikomų komandų yra:

1. Surinkite sistemos duomenis, tokius kaip pagrindinio kompiuterio vardas ir MAC adresas, ir jas išaiškinkite.
2. Sąrašas įdiegtas paslaugas tikrinant failus /etc/init.d.
3. Skaitykite neskelbtinus vartotojo duomenis iš /etc /Shadow.
4. Gaukite visų aktyvių sistemos procesų sąrašą.
5. Sistemos žurnalams bandykite pasiekti/var/log/dmesg.
6. Pabandykite perskaityti /tmp/fcontr.xml, kad gautumėte potencialių neskelbtinų duomenų.
7. Išvardykite nurodyto katalogo turinį.
8. Įkelkite arba atsisiųskite failus tarp sistemos ir užpuoliko.
9. Atidarykite nuotolinį apvalkalą, kad užpuolikui būtų suteikta visos komandos prieiga.
10. Vykdykite bet kurią komandą nuotoliniu būdu užkrėstoje sistemoje.
11. Sustabdykite ir pašalinkite kenksmingą procesą iš atminties.
12. Ištrinkite konkrečius failus iš sistemos.
13. Pervardyti failus sistemoje.
14. Praneškite užpuolikui, kad kenkėjiška programa yra aktyvi.
15. Siųskite pavogtą sistemos informaciją, paslaugų sąrašus ir vartotojo kredencialus.

„Fortiguard“ taip pat pažymėjo, kad ji naudojo AI-pagalbinius įrankius, kad būtų galima pakeisti inžinierių ir analizuoti šią kenkėjišką programą. Nors tai neturėjo jokių reikšmingų problemų, tokių kaip haliucinacija, ekstrapoliacija ir praleidimai, įrankis parodė daug žadantį potencialą.

„Nors per pastarąjį dešimtmetį išardytojai ir dekompiliatoriai pagerėjo, to negalima palyginti su naujovių lygiu, kurį matome su AI“, – komentavo „Fortinet“ tyrėjai.

„Fortinet“ sako, kad jos klientai jau yra apsaugoti nuo šios kenkėjiškos programos per savo „Fortiguard“ antiviruso paslaugą ELF/SSHDInjector.A ! Tr ir „Linux“/agentas.Acq! Tr.

Tyrėjai taip pat dalijosi maišais į mėginius, įkeltus į virustotalinius (1, 2, 3).