摘要:根据 Fortinet 的 Fortiguard 研究人员的发现,该攻击套件名为“ELF/Sshdinjector.A!tr”,由注入 SSH 守护程序以执行广泛操作的一组恶意软件组成。
黑客组织正在通过向进程中注入恶意软件来劫持网络设备上的 SSH 守护进程,以实现持续访问和秘密操作。
新发现的攻击套件自 2024 年 11 月中旬以来一直用于攻击,归因于网络间谍组织 Evasive Panda(又名 DaggerFly)。
根据 Fortinet 的 Fortiguard 研究人员的发现,该攻击套件名为“ELF/Sshdinjector.A!tr”,由注入 SSH 守护程序以执行广泛操作的一组恶意软件组成。
Fortiguard 表示,ELF/Sshdinjector.A!tr 曾被用于针对网络设备的攻击,但尽管之前已有记录,却没有关于其工作原理的分析报告。
Evasive Panda 威胁组织自 2012 年以来一直活跃,最近被曝光在为期四个月的行动中部署了新型 macOS 后门、通过亚洲的 ISP进行供应链攻击以及从美国组织收集情报。
尽管 Fortiguard 尚未透露网络设备最初是如何被攻破的,但一旦受到攻击,植入器组件就会检查设备是否已被感染以及是否在 root 权限下运行。
如果满足条件,包括 SSH 库(libssdh.so)在内的几个二进制文件将被放到目标机器上。
该文件充当主要的后门组件,负责命令和控制 (C2) 通信和数据泄露。
其他二进制文件(例如“mAInpasteheader”和“selfrecoverheader”)可帮助攻击者确保受感染设备上的持久性。
感染链概述,来源:Fortiguard
恶意 SSH 库被注入到 SSH 守护进程中,然后等待来自 C2 的传入命令来执行系统侦察、凭证窃取、进程监控、远程命令执行和文件操作。
支持的十五个命令包括:
收集系统详细信息(如主机名和 MAC 地址)并将其泄露。通过检查 /etc/init.d 中的文件列出已安装的服务。从 /etc/shadow 读取敏感用户数据。检索系统上所有活动进程的列表。尝试访问 /var/log/dmesg 获取系统日志。尝试读取 /tmp/fcontr.xml 以获取潜在的敏感数据。列出指定目录的内容。在系统和攻击者之间上传或下载文件。打开远程 shell 以使攻击者获得完全的命令行访问权限。在受感染的系统上远程执行任何命令。停止并从内存中删除恶意进程。从系统中删除特定文件。重命名系统上的文件。通知攻击者恶意软件已处于活动状态。发送被盗的系统信息、服务列表和用户凭证。Fortiguard 还指出,它使用 AI 辅助工具来逆向工程和分析此恶意软件。虽然这并非没有幻觉、推断和遗漏等重大问题,但该工具显示出了巨大的潜力。
Fortinet 的研究人员评论道:“尽管反汇编器和反编译器在过去十年中有所改进,但这无法与我们在人工智能领域看到的创新水平相比。”
Fortinet 表示,其客户已经通过其 FortiGuard 防病毒服务防御了该恶意软件,该服务将威胁检测为ELF/Sshdinjector.A !tr和Linux/Agent.ACQ!tr。
技术报告:
新闻链接:
来源:会杀毒的单反狗