Un groupe de piratage chinois détourne le démon SSH sur les appliances réseau en injectant des logiciels malveillants dans le processus pour un accès persistant et des opérations secrètes.

La suite d’attaques nouvellement identifiée est utilisée dans des attaques depuis la mi-novembre 2024, attribuées au Panda évasif chinois, alias DaggerFly, un groupe de cyberespionnage.

Selon les conclusions des chercheurs Fortiguard de Fortinet, la suite d’attaques est nommée « ELF/Sshdinjector.Un!tr  » et consiste en une collection de logiciels malveillants injectés dans le démon SSH pour effectuer un large éventail d’actions.

Fortiguard dit ELFE / Sshdinjector.Un!tr a été utilisé dans des attaques contre des appareils réseau, mais bien qu’il ait été documenté précédemment, il n’existe aucun rapport analytique sur son fonctionnement.

Les acteurs évasifs de la menace Panda sont actifs depuis 2012 et ont récemment été exposés pour avoir mené des attaques en déployant une nouvelle porte dérobée macOS, en menant des attaques sur la chaîne d’approvisionnement via des FAI en Asie et en collectant des renseignements auprès d’organisations américaines au cours d’une opération de quatre mois.

Cibler les SHD
Bien que Fortiguard n’ait pas expliqué comment les appliances réseau sont initialement violées, une fois compromises, un composant dropper vérifie si l’appareil est déjà infecté et s’il s’exécute sous les privilèges root.

Si les conditions sont remplies, plusieurs binaires, y compris une bibliothèque SSH (libssdh.so), sera déposé sur la machine cible.

Ce fichier agit comme le principal composant de la porte dérobée, responsable des communications de commandement et de contrôle (C2) et de l’exfiltration des données.

D’autres binaires, tels que « mainpasteheader » et « selfrecoverheader », aident les attaquants à sécuriser la persistance sur les appareils infectés.

La bibliothèque SSH malveillante est injectée dans le démon SSH, puis attend les commandes entrantes du C2 pour effectuer la reconnaissance du système, le vol d’informations d’identification, la surveillance des processus, l’exécution de commandes à distance et la manipulation de fichiers,

Les quinze commandes prises en charge sont:

  1. Collectez les détails du système comme le nom d’hôte et l’adresse MAC et exfiltrez-les.
  2. Répertorier les services installés en vérifiant les fichiers dans /etc / init.d.
  3. Lire les données utilisateur sensibles à partir de /etc / shadow.
  4. Récupère une liste de tous les processus actifs sur le système.
  5. Essayez d’accéder à /var / log / dmesg pour les journaux système.
  6. Essayez de lire /tmp / fcontr.xml pour les données potentiellement sensibles.
  7. Répertorie le contenu d’un répertoire spécifié.
  8. Téléchargez ou téléchargez des fichiers entre le système et l’attaquant.
  9. Ouvrez un shell distant pour donner à l’attaquant un accès complet à la ligne de commande.
  10. Exécutez n’importe quelle commande à distance sur le système infecté.
  11. Arrêtez et supprimez le processus malveillant de la mémoire.
  12. Supprimez des fichiers spécifiques du système.
  13. Renommez les fichiers sur le système.
  14. Informez l’attaquant que le logiciel malveillant est actif.
  15. Envoyez des informations système volées, des listes de services et des informations d’identification d’utilisateur.

Fortiguard a également noté qu’il utilisait des outils assistés par l’IA pour procéder à une ingénierie inverse et analyser ce logiciel malveillant. Bien que cela n’ait pas été exempt de problèmes importants tels que l’hallucination, l’extrapolation et les omissions, l’outil a montré un potentiel prometteur.

« Bien que les désassembleurs et les décompilateurs se soient améliorés au cours de la dernière décennie, cela ne peut être comparé au niveau d’innovation que nous observons avec l’IA », ont commenté les chercheurs de Fortinet.

Fortinet affirme que ses clients sont déjà protégés contre ce malware grâce à son service antivirus FortiGuard, qui détecte les menaces en tant qu’ELF/Sshdinjector.Un !tr et Linux / Agent.ACQ!traité.

Les chercheurs ont également partagé des hachages d’échantillons téléchargés sur VirusTotal [1, 2, 3].

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *