Раскрытие ELF/Sshdinjector.A!tr: Угрозы через SSH-демон

Согласно последнему отчету, исследователи кибербезопасности выявили новый комплект вредоносных программ, известный как ELF/Sshdinjector.A!tr. Первые образцы этого вредоносного ПО ожидаются в середине ноября 2024 года. Оно связано со шпионской группой DaggerFly и использовалось в кампании Lunar Peek, нацеленной на сетевые устройства.

Как работает ELF/Sshdinjector.A!tr

При запуске данный dropper проводит проверку на наличие существующих заражений. Если хост еще не скомпрометирован, он приступает к развертыванию различных вредоносных двоичных файлов, среди которых:

• вредоносная SSH-библиотека libsshd.so, отвечающая за связь с удаленным сервером управления (C2);
• зараженные версии законных двоичных файлов, таких как ls, netstat, и crond;

Основные функции вредоносной программы сосредоточены в libsshd.so и включают:

• Функция с названием «ха-ха», которая запускает два дополнительных потока;
• Функция «heihei», устанавливающая соединение с жестко закодированным IP-адресом 45.125.64.200;
• Функция «xixi», проверяющая доступ к файлу /root/intensify-mm-inject/xxx.

Завершив проверку, программа перезапускает службы SSH и Cron, тем самым обеспечивая постоянный доступ к заражённой системе.

Проблемы и недочёты в интерпретации данных

Анализ вредоносного ПО показывает высокое качество реверс-инжиниринга, однако вызывает опасения информация, создаваемая искусственным интеллектом. Некоторые интерпретации оказались избыточными. Например:

• Вредоносная программа не манипулирует MAC-адресом, а лишь собирает его;
• Важно учитывать специфические детали; проверка доступа к /tmp/fcontr.xml была упущена, пока запрос не уточнили.

В целом, обратная разработка ELF/Sshdinjector.A!tr раскрывает сложную структуру вредоносного ПО, направленную на поддержание постоянного доступа и облегчение утечки данных через услуги SSH.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.