Fordiguard Labs’tan yeni bir rapor, Çinli bilgisayar korsanlarının Linux cihazlarını aktif olarak hedeflediğini, elf/sshdinjector.a! Tr.
Daggerfly Casusluk Grubu’na atfedilen bu kötü amaçlı yazılım, Kasım 2024’ün ortasından bu yana, öncelikle ağ cihazlarını ve IoT cihazlarını hedefleyen Lunar Peek kampanyasında kullanılmıştır.
Saldırı, birlikte çalışan birkaç kötü niyetli bileşeni içerir. İlk giriş noktası, ilk olarak kök ayrıcalıklarına sahip olup olmadığını doğrulayan bir damlalıktır.
Fortinet’teki uzmanlar, sistem zaten tehlikeye girmezse, damlalık, adlandırılmış bir SSH kütüphanesi de dahil olmak üzere bir dizi kötü amaçlı ikili dosyayı dağıttığını belirledi. "libsshd.so" ve gibi ortak yardımcı programların enfekte olmuş versiyonları "ls"– "netstat"Ve "crond".
.webp)
. "libsshd.so" Kütüphane, bir uzak komut ve kontrol (C2) sunucusu ile iletişim kurma özelliği ile donatılmış arka kapının çekirdeğidir.
Birincil kötü niyetli işlevsellik, “Heihei” ve “Xixi” işlevlerinden iki ek iş parçacığını ortaya çıkaran “Haha” adlı bir işlev içinde bulunur – tüm terimler Çince kahkaha gösteren tüm terimler.
“Xixi” işlevi "/root/intensify-mm-inject/ xxx" Dizin ve gerekirse SSH ve Cron Daemons’ı yeniden başlatır.
“Heihei” işlevi, IP adresindeki sabit kodlu C2 sunucusu ile bir bağlantı kurar 45.125.64[.]200 portlarda 33200 veya 33223komutları bekliyor.
Kötü amaçlı yazılım, C2 sunucusu ile sert kodlanmış bir UUID (a273079c-3e0f-4847-a075-b4e1f9549e88) ve bir tanımlayıcı (afa8dcd81a854144) her pakette, komut yanıtı ile birlikte.
C2 sunucusu aşağıdakileri içeren çeşitli komutlar yayınlayabilir:-
| Komut kimliği | Tanım |
|---|---|
| 1 | “Server_req_base_info”. UNAME, MAC adresi vb. |
| 2 | “/ Etc/ init.d” deki dosyaları listeleyerek çalışan hizmetleri listeleyin |
| 3 | “/ Etc/ Shadow” dan kullanıcıları okur |
| 4 | Çalıştırma işlemini listeler |
| 5 | “/Var/log/dmesg” e erişim testleri |
| 6 | Testler “/ tmp/ fcontr.xml” |
| 7 | Belirli bir dizini listeler |
| 8 | Dosya aktarımı |
| 9 | Bir kabuk terminali açar |
| 10 | Terminalde bir komut yürütür |
| 11 | Kötü niyetli işlemden boşaltılır ve çıkar |
| 12 | Bir dosyayı kaldırır |
| 13 | Bir dosyayı yeniden adlandırın |
| 1000 | “Server_ret_online_ack” |
| 0x80000001 | Müşteri Durumu Değişikliği Bildirimi. Temel bilgi, hizmet listesi gönderir, “/ etc/ shadow” i okuyun. |
Bu, saldırganların sistem bilgilerini toplamasına, hassas verileri sunmasına ve tehlikeye atılan cihazda keyfi komutlar yürütmesine olanak tanır.
.webp)
Linux tabanlı ağ aletleri ve IoT cihazlarının kullanıcılarının antivirüs tanımlarının güncel olmasını sağlamaları şiddetle tavsiye edilir.
Uzlaşma Göstergeleri (IOCS)
Fortiguard Labs aşağıdaki uzlaşma göstergelerini (IOCS) tanımladı:-
- SHA256:
94e8540ea39893b6be910cfee0331766e4a199684b0360e367741facca74191f - SHA256:
0e2ed47c0a1ba3e1f07711fb90ac8d79cb3af43e82aa4151e5c7d210c96baebb - C2 Sunucusu:
45.125.64[.]200:33200Ve45.125.64[.]200:33223
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free