top of page

Chineses utilizam novo Backdoor no SSH para invadir dispositivos de rede

  • Foto do escritor: Cyber Security Brazil
    Cyber Security Brazil
  • 5 de fev.
  • 2 min de leitura

Um grupo hacker chinês está sequestrando o daemon SSH em dispositivos de rede ao injetar malware no processo, garantindo acesso persistente e operações sigilosas.

A nova suíte de ataque foi identificada em invasões desde meados de novembro de 2024 e foi atribuída ao grupo de ciberespionagem chinês Evasive Panda, também conhecido como DaggerFly.


Segundo pesquisadores da Fortinet FortiGuard, o ataque é baseado no malware ELF/Sshdinjector.A!tr, que compromete o daemon SSH para realizar uma ampla variedade de ações maliciosas. Embora esse malware já tenha sido documentado anteriormente, até o momento não existiam relatórios detalhados sobre seu funcionamento.


O grupo Evasive Panda está ativo desde 2012 e já foi exposto por ataques que envolvem um backdoor para macOS, ataques à cadeia de suprimentos via ISPs na Ásia e operações de espionagem contra organizações nos EUA durante quatro meses consecutivos.


Método de Ataque: Sequestro do SSHD

Embora a FortiGuard não tenha revelado como os dispositivos de rede são inicialmente comprometidos, uma vez invadidos, um dropper verifica se o dispositivo já está infectado e se possui privilégios de root.


Caso os requisitos sejam atendidos, diversos binários maliciosos são implantados no sistema, incluindo:

  • libssdh.so → principal backdoor, responsável por comunicação C2 (Command and Control) e exfiltração de dados.


  • mainpasteheader e selfrecoverheader → mantêm a persistência do malware nos dispositivos infectados.


A biblioteca maliciosa SSH é injetada no daemon SSH e aguarda comandos remotos enviados pelo servidor C2.



O invasor pode então realizar atividades como:

  • Espionagem do sistema

  • Roubo de credenciais

  • Monitoramento de processos

  • Execução remota de comandos

  • Manipulação de arquivos


A Fortinet listou 15 comandos suportados pelo malware, incluindo:

  • Coleta de detalhes do sistema (hostname, endereço MAC)

  • Listagem de serviços instalados

  • Leitura de dados sensíveis no arquivo /etc/shadow

  • Listagem de processos ativos

  • Acesso a logs do sistema (/var/log/dmesg)

  • Exfiltração de arquivos

  • Execução de comandos remotos e abertura de shell remoto

  • Exclusão e renomeação de arquivos

  • Envio de dados roubados para os hackers


Análise e Detecção

Os pesquisadores da Fortinet usaram ferramentas assistidas por IA para reverter e analisar o malware, destacando que, embora a IA tenha apresentado desafios como alucinações e omissões, ela demonstrou potencial promissor.


A Fortinet informou que seus clientes já estão protegidos contra essa ameaça por meio do serviço FortiGuard AntiVirus, que detecta o malware como ELF/Sshdinjector.A!tr e Linux/Agent.ACQ!tr.


A empresa também compartilhou hashes das amostras do malware no VirusTotal para facilitar sua identificação e mitigação[1, 2, 3] .


Via - BC

 
 
 

Comentários


Parceiros

Cupom 20% de desconto - CYBERSECBRA20 

bottom of page