Исследователи компании Trellix выявили новую цепочку атак на системы Linux, использующую нестандартный метод доставки вредоносного ПО VShell. Ключевая особенность этого метода заключается в размещении полезной нагрузки непосредственно в имени файла внутри RAR-архива, что позволяет обходить антивирусные сканеры, которые обычно не анализируют имена файлов на наличие исполняемого кода.
Атака начинается с фишингового электронного письма, замаскированного под приглашение к участию в опросе о косметических продуктах. В качестве стимула жертве предлагается вознаграждение в размере 10 китайских юаней. К письму прикреплен архив с именем
Внутри архива
Изображение носит иллюстративный характер
Атака начинается с фишингового электронного письма, замаскированного под приглашение к участию в опросе о косметических продуктах. В качестве стимула жертве предлагается вознаграждение в размере 10 китайских юаней. К письму прикреплен архив с именем
yy.rar. Социальная инженерия направлена на то, чтобы отвлечь пользователя содержимым опроса, представляя вложение как сопутствующий документ. Внутри архива
yy.rar находится файл, имя которого является исполняемой командой. Структура имени выглядит следующим образом: ziliao2.pdf{echo,<команда в Base64>}|{base64,-d}|bash. Такое имя невозможно создать вручную в стандартной командной оболочке, что указывает на его программную генерацию. Полезная нагрузка закодирована в формате Base64, чтобы избежать обнаружения.
Выполнение вредоносного кода происходит не при распаковке архива, а в момент, когда скрипт или команда оболочки (например, eval или echo в цикле) пытается обработать или вывести список файлов. Оболочка Linux интерпретирует обратные кавычки и символы конвейера как команды, подлежащие немедленному исполнению, что приводит к запуску внедренного в имя файла кода.
Закодированная в имени команда — это загрузчик. Он устанавливает соединение с удаленным сервером для скачивания бинарного файла формата ELF, подобранного под архитектуру целевой системы. Загрузчик поддерживает архитектуры x86_64, i386, i686, armv7l и aarch64. После загрузки этот файл связывается с командно-контрольным сервером (C2) и получает от него зашифрованную полезную нагрузку VShell.
VShell представляет собой бэкдор с открытым исходным кодом, написанный на языке Go. Он предоставляет злоумышленникам широкий спектр возможностей, включая обратную оболочку, управление файлами и процессами, перенаправление портов и шифрование каналов связи с C2-сервером. Данный инструмент активно используется китайскими хакерскими группами, в том числе группировкой, отслеживаемой под кодовым названием UNC5174. Автором технического анализа этой атаки является исследователь Сагар Баде из Trellix.
Это открытие дополняет другую недавнюю разработку в области вредоносного ПО для Linux, проанализированную компанией Picus Security. Инструмент для постэксплуатации под названием RingReaper использует современный фреймворк ядра io_uring для выполнения вредоносных действий в обход систем защиты.
Основная техника уклонения RingReaper заключается в использовании интерфейса асинхронного ввода-вывода io_uring вместо стандартных системных вызовов, таких как read, write, send или connect. Большинство платформ обнаружения и реагирования на конечных точках (EDR) отслеживают именно стандартные вызовы. Используя примитивы io_uring, RingReaper делает свою активность практически невидимой для таких систем защиты.
RingReaper обладает функциями для сбора системной информации: он может перечислять процессы, активные псевдотерминальные сессии, сетевые подключения и вошедших в систему пользователей. Инструмент также собирает данные из файла /etc/passwd`, злоупотребляет бинарными файлами с флагом SUID для повышения привилегий и удаляет собственные следы после выполнения. Ответственность за создание RingReaper в настоящее время не установлена. Анализ инструмента был проведен исследователем Сылой Озерен Хаджиоглу из Picus Security.
