Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Раскрытие ELF/Sshdinjector.A!tr: Угрозы через SSH-демон

6
1 мин
Согласно последнему отчету, исследователи кибербезопасности выявили новый комплект вредоносных программ, известный как ELF/Sshdinjector.A!tr. Первые образцы этого вредоносного ПО ожидаются в середине ноября 2024 года. Оно связано со шпионской группой DaggerFly и использовалось в кампании Lunar Peek, нацеленной на сетевые устройства. При запуске данный dropper проводит проверку на наличие существующих заражений. Если хост еще не скомпрометирован, он приступает к развертыванию различных вредоносных двоичных файлов, среди которых: Основные функции вредоносной программы сосредоточены в libsshd.so и включают: Завершив проверку, программа перезапускает службы SSH и Cron, тем самым обеспечивая постоянный доступ к заражённой системе. Анализ вредоносного ПО показывает высокое качество реверс-инжиниринга, однако вызывает опасения информация, создаваемая искусственным интеллектом. Некоторые интерпретации оказались избыточными. Например: В целом, обратная разработка ELF/Sshdinjector.A!tr раскрывае
Оглавление

Согласно последнему отчету, исследователи кибербезопасности выявили новый комплект вредоносных программ, известный как ELF/Sshdinjector.A!tr. Первые образцы этого вредоносного ПО ожидаются в середине ноября 2024 года. Оно связано со шпионской группой DaggerFly и использовалось в кампании Lunar Peek, нацеленной на сетевые устройства.

Как работает ELF/Sshdinjector.A!tr

При запуске данный dropper проводит проверку на наличие существующих заражений. Если хост еще не скомпрометирован, он приступает к развертыванию различных вредоносных двоичных файлов, среди которых:

  • вредоносная SSH-библиотека libsshd.so, отвечающая за связь с удаленным сервером управления (C2);
  • зараженные версии законных двоичных файлов, таких как ls, netstat, и crond;

Основные функции вредоносной программы сосредоточены в libsshd.so и включают:

  • Функция с названием «ха-ха», которая запускает два дополнительных потока;
  • Функция «heihei», устанавливающая соединение с жестко закодированным IP-адресом 45.125.64.200;
  • Функция «xixi», проверяющая доступ к файлу /root/intensify-mm-inject/xxx.

Завершив проверку, программа перезапускает службы SSH и Cron, тем самым обеспечивая постоянный доступ к заражённой системе.

Проблемы и недочёты в интерпретации данных

Анализ вредоносного ПО показывает высокое качество реверс-инжиниринга, однако вызывает опасения информация, создаваемая искусственным интеллектом. Некоторые интерпретации оказались избыточными. Например:

  • Вредоносная программа не манипулирует MAC-адресом, а лишь собирает его;
  • Важно учитывать специфические детали; проверка доступа к /tmp/fcontr.xml была упущена, пока запрос не уточнили.

В целом, обратная разработка ELF/Sshdinjector.A!tr раскрывает сложную структуру вредоносного ПО, направленную на поддержание постоянного доступа и облегчение утечки данных через услуги SSH.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Раскрытие ELF/Sshdinjector.A!tr: Угрозы через SSH-демон".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Гаджеты и электроника
5,73 млн интересуются