Çin siberleri ağ cihazı hack’lerinde yeni SSH arka kapı kullanıyor

Bir Çin hackleme grubu, kalıcı erişim ve gizli işlemler için işlemi için kötü amaçlı yazılım enjekte ederek ağ cihazlarındaki SSH daemon’u kaçırıyor.

Yeni tanımlanan saldırı paketi, Kasım 2024’ün ortalarından bu yana saldırılarda kullanılmış, Çin kaçan panda, yani Daggerfly, Siber-İzin Grubu’na atfedilmiştir.

Fortinet’in FortiGuard araştırmacılarının bulgularına göre, saldırı paketi “elf/sshdinjector.a! Tr” olarak adlandırılır ve çok çeşitli eylemler gerçekleştirmek için SSH daemon’a enjekte edilen bir kötü amaçlı yazılım koleksiyonundan oluşur.

Fordiguard, elf/sshdinjector.a! TR’nin ağ cihazlarına yönelik saldırılarda kullanıldığını, ancak daha önce belgelenmiş olmasına rağmen, nasıl çalıştığı hakkında hiçbir analitik rapor bulunmadığını söylüyor.

Kaçınma Panda tehdit aktörleri 2012’den beri aktiftir ve yakın zamanda yeni bir macOS backdooru kullanan, Asya’daki ISS’ler aracılığıyla tedarik zinciri saldırıları gerçekleştiren ve dört aylık bir operasyonda ABD organizasyonlarından istihbarat toplayan saldırılar yapmak için maruz kaldı.

SSHD’yi hedeflemek

Fortiguard, ağ cihazlarının başlangıçta nasıl ihlal edildiğini paylaşmasa da, bir kez tehlikeye atıldıktan sonra, bir damla bileşeni cihazın zaten enfekte olup olmadığını ve kök ayrıcalıkları altında çalışıp çalışmadığını kontrol eder.

Koşullar karşılanırsa, bir SSH kütüphanesi (libssdh.so) dahil olmak üzere birkaç ikili dosyası hedef makineye bırakılacaktır.

Bu dosya, komut ve kontrol (C2) iletişim ve veri açığa çıkmasından sorumlu ana arka kapı bileşeni olarak işlev görür.

‘MainPasteHeader’ ve ‘selfrecoverheader’ gibi diğer ikili dosyalar, saldırganların enfekte cihazlarda kalıcılığı güvence altına almalarına yardımcı olur.

Kötü niyetli SSH kütüphanesi SSH daemon’a enjekte edilir ve daha sonra C2’den gelen komutların sistem keşfi, kimlik bilgisi hırsızlığı, süreç izleme, uzaktan komut yürütme ve dosya manipülasyonu yapmasını bekler,

Desteklenen on beş komut:

1. Ana bilgisayar adı ve MAC adresi gibi sistem detaylarını toplayın ve bunları dışarı atın.
2. /Etc/init.d’deki dosyaları kontrol ederek yüklü hizmetleri listeleyin.
3. Hassas kullanıcı verilerini /etc /Shadow’dan okuyun.
4. Sistemdeki tüm aktif işlemlerin bir listesini alın.
5. Sistem günlükleri için/var/log/dmesg’ye erişmeyi deneyin.
6. Potansiyel hassas veriler için /tmp/fcontr.xml okumayı deneyin.
7. Belirtilen bir dizinin içeriğini listeleyin.
8. Sistem ve saldırgan arasında dosyaları yükleyin veya indirin.
9. Saldırgana tam komut satırı erişimi vermek için uzak bir kabuk açın.
10. Enfekte sistemde herhangi bir komutu uzaktan yürütün.
11. Kötü niyetli işlemi bellekten durdurun ve kaldırın.
12. Sistemden belirli dosyaları silin.
13. Sistemdeki dosyaları yeniden adlandırın.
14. Saldırgana kötü amaçlı yazılımın aktif olduğunu bildirin.
15. Çalıntı sistem bilgilerini, hizmet listelerini ve kullanıcı kimlik bilgilerini gönderin.

Forguard ayrıca, bu kötü amaçlı yazılımları tersine çevirmek ve analiz etmek için AI destekli araçlar kullandığını belirtti. Bu, halüsinasyon, ekstrapolasyon ve eksiklikler gibi önemli sorunlardan arınmış olmasa da, araç umut verici bir potansiyel gösterdi.

Fortinet’in araştırmacıları, “Son on yılda sökücüler ve ayrışçılar gelişmiş olsa da, bu AI ile gördüğümüz yenilik seviyesiyle karşılaştırılamaz.”

Fortinet, müşterilerinin tehditleri tespit eden FortiGuard Antivirus hizmeti aracılığıyla bu kötü amaçlı yazılımlara karşı zaten korunduğunu söylüyor. Elf/sshdinjector.a ! tr Ve Linux/ajan.acq! Tr.

Araştırmacılar ayrıca Virustotal’a yüklenen numunelerle karmaları paylaştılar [1, 2, 3].