ELF/Sshdinjector.A!tr представляет собой коллекцию вредоносных программ, которые могут быть внедрены в демон SSH. Эти программы впервые появились в ноябре 2024 года и связываются с шпионской группой DaggerFly, которая использовала их во время кампании Lunar Peek против сетевых устройств. Однако, до сих пор они не были подробно изучены.
ELF/Sshdinjector.A!tr Malware
ELF/Sshdinjector.A!tr - это коллекция вредоносных программ, которые могут быть внедрены в демон SSH. Образцы этих программ появились в ноябре 2024 года и, хотя о них известно достаточно информации, никто еще не исследовал их функциональность. Вредоносные программы включают дроппер, который проверяет и заражает хост, вредоносную библиотеку SSH для утечки информации, а также другие зараженные двоичные файлы для обеспечения персистентности. В вредоносной полезной нагрузке находятся функции, выполняющие различные действия, такие как сбор информации о хосте, перечисление запущенных служб, чтение файла /etc/shadow и другие.
Атака ELF/Sshdinjector.A!tr использует несколько двоичных файлов. Дроппер проверяет, заражен ли хост, и если нет, сбрасывает вредоносные файлы в нужные места. Одна из вредоносных библиотек называется libsshd.so и используется для взаимодействия с удаленным ботом-мастером, а также для утечки информации. Есть и другие зараженные файлы, которые обеспечивают постоянное присутствие вредоносного ПО на хосте.
Вредоносная полезная нагрузка находится в файле libsshd.so. Функция с названием "haha" является основным элементом, в то время как "heihei" и "xixi" - это еще две функции, проверяющие доступ к определенным файлам и устанавливающие соединение с удаленным C2. Связь с C2 осуществляется по собственному протоколу, использующему жестко закодированный UUID и идентификаторы для передачи команд и данных.
Indicators of Compromise
SHA256
- 0e2ed47c0a1ba3e1f07711fb90ac8d79cb3af43e82aa4151e5c7d210c96baebb
- 6d08ba82bb61b0910a06a71a61b38e720d88f556c527b8463a11c1b68287ce84
- 94e8540ea39893b6be910cfee0331766e4a199684b0360e367741facca74191f
