Bir Çin hackleme grubu, kalıcı erişim ve gizli işlemler için işlemi için kötü amaçlı yazılım enjekte ederek ağ cihazlarındaki SSH daemon'u kaçırıyor.
Yeni tanımlanan saldırı paketi, Kasım 2024'ün ortalarından bu yana saldırılarda kullanılmış, Çin kaçan panda, yani Daggerfly, Siber-İzin Grubu'na atfedilmiştir.
Fortinet'in FortiGuard araştırmacılarının bulgularına göre, saldırı paketi "elf/sshdinjector.a! Tr" olarak adlandırılır ve çok çeşitli eylemler gerçekleştirmek için SSH daemon'a enjekte edilen bir kötü amaçlı yazılım koleksiyonundan oluşur.
Fordiguard, elf/sshdinjector.a! TR'nin ağ cihazlarına yönelik saldırılarda kullanıldığını, ancak daha önce belgelenmiş olmasına rağmen, nasıl çalıştığı hakkında hiçbir analitik rapor bulunmadığını söylüyor.
Kaçınma Panda Tehdit Oyuncuları 2012'den beri aktiftir ve yakın zamanda yeni bir MacOS arka kapı yer kaplaması, Asya'daki ISS'ler aracılığıyla tedarik zinciri saldırıları gerçekleştirme ve dört aylık bir operasyonda ABD organizasyonlarından istihbarat toplama saldırıları yapmak için maruz kaldı.
Fortiguard, ağ cihazlarının başlangıçta nasıl ihlal edildiğini paylaşmasa da, bir kez tehlikeye atıldıktan sonra, bir damla bileşeni cihazın zaten enfekte olup olmadığını ve kök ayrıcalıkları altında çalışıp çalışmadığını kontrol eder.
Koşullar karşılanırsa, bir SSH kütüphanesi (libssdh.so) dahil olmak üzere birkaç ikili dosyası hedef makineye bırakılacaktır.
Bu dosya, komut ve kontrol (C2) iletişim ve veri açığa çıkmasından sorumlu ana arka kapı bileşeni olarak işlev görür.
'MainPasteHeader' ve 'selfrecoverheader' gibi diğer ikili dosyalar, saldırganların enfekte cihazlarda kalıcılığı güvence altına almalarına yardımcı olur.
Kötü niyetli SSH kütüphanesi SSH daemon'a enjekte edilir ve daha sonra C2'den gelen komutların sistem keşfi, kimlik bilgisi hırsızlığı, süreç izleme, uzaktan komut yürütme ve dosya manipülasyonu yapmasını bekler,
Desteklenen on beş komut:
Forguard ayrıca, bu kötü amaçlı yazılımları tersine çevirmek ve analiz etmek için AI destekli araçlar kullandığını belirtti. Bu, halüsinasyon, ekstrapolasyon ve eksiklikler gibi önemli sorunlardan arınmış olmasa da, araç umut verici bir potansiyel gösterdi.
Fortinet'in araştırmacıları, "Son on yılda sökücüler ve ayrışçılar gelişmiş olsa da, bu AI ile gördüğümüz yenilik seviyesiyle karşılaştırılamaz."
Fortinet, müşterilerinin bu kötü amaçlı yazılımlara karşı, elf/sshdinjector.a ve linux/ajan.acq! Tr.
Araştırmacılar ayrıca Virustotal'a yüklenen örneklerle karma paylaştılar [1, 2, 3].
Winnti bilgisayar korsanları yeni Glutton PHP Backdoor ile diğer tehdit aktörlerini hedefleyin
Çinli bilgisayar korsanları uzaktan erişim için Visual Studio Kodu tünellerini kullanıyor
Çin'de IP ile bağlantılı iki sağlık hasta monitöründe bulunan arka kapı
Google, bilgisayar korsanlarının saldırılarını güçlendirmek için İkizler AI'sını kötüye kullandığını söylüyor
Microsoft, teknoloji desteği dolandırıcılığını engellemek için Edge Scareware blokerini test ediyor
Kaynak: Bleeping Computer