Çin hackleme grubu Daggerfly’ye atfedilen sofistike bir siber casusluk kampanyası tanımlandı ve Linux sistemlerini hedefleyen gelişmiş bir güvenli kabuk (SSH) backdoor aracılığıyla hedefleyen Elf/sshdinjector.a! Tr!.
Daha geniş bir saldırı çerçevesinin bir parçası olan bu kötü amaçlı yazılım, Linux tabanlı ağ aletlerini ve şeylerin İnterneti (IoT) cihazlarını tehlikeye atarak, tehlike altına alınan ortamlarda veri açığa çıkmasını ve uzun süreli kalıcılığı sağlar.
Kasım 2024 ortasında keşfedilen arka kapı, Aylık peek Kampanya, ağ cihazlarına koordineli bir dizi saldırı.
FortiGuard Labs tarafından yapılan analiz, saldırının bir damlalık, kötü niyetli bir SSH kütüphanesi dahil olmak üzere kötü niyetli bileşenlerin bir kombinasyonunu dağıttığını ortaya koyuyor (libsshd.so) ve enfeksiyonu korumak ve tespit etmekten kaçınmak için tasarlanmış diğer dosyalar.
Enfeksiyon mekaniği
Kötü amaçlı yazılım, enfeksiyondan önce ana bilgisayarın kök ayrıcalıklarını doğrulayan bir damlalık ikili ile başlar.
Hedef savunmasız olarak kabul edilirse, damlalık, ls– netstatVe crond Kötü niyetli sürümlerle.
Ayrıca SSH daemon’u kullanarak enfekte olur libsshd.so Birincil yük olarak hizmet veren dosya.
Çekirdek arka kapı işlevselliği libsshd.sosabit kodlu bir IP adresinde uzaktan komut ve kontrol (C2) sunucusu ile iletişimi etkinleştirme.
Aşağıdakiler dahil olmak üzere bir dizi kötü amaçlı etkinlik yürütür:
- MAC adresleri ve yapılandırma detayları gibi sistem verilerinin eklenmesi.
- Dahil olan hassas sistem dosyalarını listeleme ve okuma
/etc/shadow. - Dosya manipülasyonu ve tehlikeye atılan sistemdeki komutları yürütme yeteneği.
- SSH ve Cron Daemons’ın otomatik olarak yeniden başlatılması yoluyla kalıcılık.
Fortinet raporuna göre, kötü amaçlı yazılım, C2 sunucusu ile şifreli iletişim için özel bir protokol kullanarak çalışır ve tehlikeye atılan ana bilgisayarları izlemek için benzersiz tanımlayıcılar kullanır.
Teknik analiz
AI araçları tarafından desteklenen gelişmiş ters mühendislik yoluyla R2AIaraştırmacılar karmaşık davranışları bir araya getirdiler. Elf/sshdinjector.a! Tr!.
AI kullanımı hızlı sökme ve kaynak kodu üretimini kolaylaştırdı, ancak halüsinasyonlu işlevler ve atlanan detaylar gibi zorluklar insan gözetimini gerektiriyordu.
İnsan analistleri ve yapay zeka arasındaki işbirliği, kötü amaçlı yazılımların işlevselliğinin derinlemesine kod çözülmesine izin vererek, tehdit analizi iş akışlarında AI’nın potansiyelini ancak kusurlu doğasını vurguladı.
Daggerfly’nin kullanımı Elf/sshdinjector.a! Tr! Özellikle sağlam güvenlik önlemlerinden yoksun olan Linux platformlarını, özellikle IoT ve ağ cihazlarını hedefleyen saldırıların artan sofistike olmasının altını çiziyor.
Kampanyanın verileri dışarı atma ve gizli koruma yeteneği, Linux tabanlı sistemler için gelişmiş güvenlik protokollerine yönelik kritik ihtiyacı göstermektedir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free