Chineses utilizam novo Backdoor no SSH para invadir dispositivos de rede
- Cyber Security Brazil
- 5 de fev.
- 2 min de leitura

Um grupo hacker chinês está sequestrando o daemon SSH em dispositivos de rede ao injetar malware no processo, garantindo acesso persistente e operações sigilosas.
A nova suíte de ataque foi identificada em invasões desde meados de novembro de 2024 e foi atribuída ao grupo de ciberespionagem chinês Evasive Panda, também conhecido como DaggerFly.
Segundo pesquisadores da Fortinet FortiGuard, o ataque é baseado no malware ELF/Sshdinjector.A!tr, que compromete o daemon SSH para realizar uma ampla variedade de ações maliciosas. Embora esse malware já tenha sido documentado anteriormente, até o momento não existiam relatórios detalhados sobre seu funcionamento.
O grupo Evasive Panda está ativo desde 2012 e já foi exposto por ataques que envolvem um backdoor para macOS, ataques à cadeia de suprimentos via ISPs na Ásia e operações de espionagem contra organizações nos EUA durante quatro meses consecutivos.
Método de Ataque: Sequestro do SSHD
Embora a FortiGuard não tenha revelado como os dispositivos de rede são inicialmente comprometidos, uma vez invadidos, um dropper verifica se o dispositivo já está infectado e se possui privilégios de root.
Caso os requisitos sejam atendidos, diversos binários maliciosos são implantados no sistema, incluindo:
libssdh.so → principal backdoor, responsável por comunicação C2 (Command and Control) e exfiltração de dados.
mainpasteheader e selfrecoverheader → mantêm a persistência do malware nos dispositivos infectados.
A biblioteca maliciosa SSH é injetada no daemon SSH e aguarda comandos remotos enviados pelo servidor C2.

O invasor pode então realizar atividades como:
Espionagem do sistema
Roubo de credenciais
Monitoramento de processos
Execução remota de comandos
Manipulação de arquivos
A Fortinet listou 15 comandos suportados pelo malware, incluindo:
Coleta de detalhes do sistema (hostname, endereço MAC)
Listagem de serviços instalados
Leitura de dados sensíveis no arquivo /etc/shadow
Listagem de processos ativos
Acesso a logs do sistema (/var/log/dmesg)
Exfiltração de arquivos
Execução de comandos remotos e abertura de shell remoto
Exclusão e renomeação de arquivos
Envio de dados roubados para os hackers
Análise e Detecção
Os pesquisadores da Fortinet usaram ferramentas assistidas por IA para reverter e analisar o malware, destacando que, embora a IA tenha apresentado desafios como alucinações e omissões, ela demonstrou potencial promissor.
A Fortinet informou que seus clientes já estão protegidos contra essa ameaça por meio do serviço FortiGuard AntiVirus, que detecta o malware como ELF/Sshdinjector.A!tr e Linux/Agent.ACQ!tr.
A empresa também compartilhou hashes das amostras do malware no VirusTotal para facilitar sua identificação e mitigação[1, 2, 3] .
Via - BC
Comentários