Chineses utilizam novo Backdoor no SSH para invadir dispositivos de rede

Um grupo hacker chinês está sequestrando o daemon SSH em dispositivos de rede ao injetar malware no processo, garantindo acesso persistente e operações sigilosas.

A nova suíte de ataque foi identificada em invasões desde meados de novembro de 2024 e foi atribuída ao grupo de ciberespionagem chinês Evasive Panda, também conhecido como DaggerFly.

Segundo pesquisadores da Fortinet FortiGuard, o ataque é baseado no malware ELF/Sshdinjector.A!tr, que compromete o daemon SSH para realizar uma ampla variedade de ações maliciosas. Embora esse malware já tenha sido documentado anteriormente, até o momento não existiam relatórios detalhados sobre seu funcionamento.

O grupo Evasive Panda está ativo desde 2012 e já foi exposto por ataques que envolvem um backdoor para macOS, ataques à cadeia de suprimentos via ISPs na Ásia e operações de espionagem contra organizações nos EUA durante quatro meses consecutivos.

Método de Ataque: Sequestro do SSHD

Embora a FortiGuard não tenha revelado como os dispositivos de rede são inicialmente comprometidos, uma vez invadidos, um dropper verifica se o dispositivo já está infectado e se possui privilégios de root.

Caso os requisitos sejam atendidos, diversos binários maliciosos são implantados no sistema, incluindo:

• libssdh.so → principal backdoor, responsável por comunicação C2 (Command and Control) e exfiltração de dados.

• mainpasteheader e selfrecoverheader → mantêm a persistência do malware nos dispositivos infectados.

A biblioteca maliciosa SSH é injetada no daemon SSH e aguarda comandos remotos enviados pelo servidor C2.

O invasor pode então realizar atividades como:

• Espionagem do sistema

• Roubo de credenciais

• Monitoramento de processos

• Execução remota de comandos

• Manipulação de arquivos

A Fortinet listou 15 comandos suportados pelo malware, incluindo:

• Coleta de detalhes do sistema (hostname, endereço MAC)

• Listagem de serviços instalados

• Leitura de dados sensíveis no arquivo /etc/shadow

• Listagem de processos ativos

• Acesso a logs do sistema (/var/log/dmesg)

• Exfiltração de arquivos

• Execução de comandos remotos e abertura de shell remoto

• Exclusão e renomeação de arquivos

• Envio de dados roubados para os hackers

Análise e Detecção

Os pesquisadores da Fortinet usaram ferramentas assistidas por IA para reverter e analisar o malware, destacando que, embora a IA tenha apresentado desafios como alucinações e omissões, ela demonstrou potencial promissor.

A Fortinet informou que seus clientes já estão protegidos contra essa ameaça por meio do serviço FortiGuard AntiVirus, que detecta o malware como ELF/Sshdinjector.A!tr e Linux/Agent.ACQ!tr.

A empresa também compartilhou hashes das amostras do malware no VirusTotal para facilitar sua identificação e mitigação[1, 2, 3] .

Via - BC