29 марта 2024 года сообщено об обнаружении вредоносного бэкдора в утилите сжатия XZ, которая встроена в многие дистрибутивы Linux. Библиотека с бэкдором использовалась серверным процессом sshd в OpenSSH и имела зависимость от systemd. Злоумышленники использовали этот бэкдор для предоставления удаленного выполнения кода в sshd. Атака была многоступенчатой и представляла собой изменение исходного кода сборки, добавление скрипта и вредоносного бинарного компонента, который связывался с легитимной библиотекой и попадал в репозитории Linux.
Этот инцидент с бэкдором был обнаружен в XZ версии 5.6.1, а крупные производители выпустили откаты и исправления. Злоумышленники использовали два тестовых файла для загрузки бэкдора в исходные файлы проекта XZ. Вредоносный код был внедрен в релизы проекта, которые были загружены с сайта, которым управлял злоумышленник.
Indicators of Compromise
MD5
- 153df9727a2729879a26c1995007ffbc
- 212ffa0b24bb7d749532425a46764433
- 35028f4b5c6673d6f2e1a80f02944fb2
- 4f0cf1d2a2d44b75079b3ea5ed28fe54
- 53d82bb511b71a5d4794cf2d8a2072c1
- 540c665dfcd4e5cfba5b72b4787fec4f
- b4dd2661a7c69e85f19216a6dbbb1664
- d302c6cb2fa1c03c710fa5285651530f
SHA1
- 72e8163734d586b6360b24167a3aff2a3c961efb
- 8a75968834fc11ba774d7bbdc566d272ff45476c
SHA256
- 319feb5a9cddd81955d915b5632b4a5f8f9080281fb46e2f6d69d53f693c23ae
- 605861f833fc181c7cdcabd5577ddb8989bea332648a8f498b4eef89b8f85ad4