Исследователи Trellix раскрывают новую цепочку атак, в которой используются фишинговые электронные письма для доставки бэкдора с открытым исходным кодом под названием VShell.

Цепочка заражения специфичным для Linux вредоносными ПО начинается со спам-письма с вредоносным архивом RAR.

Причем полезная нагрузка не скрыта внутри содержимого файла или макроса, а закодирована непосредственно в самом имени файла.

Такая техника реализует дополнительное преимущество в обходе традиционной защиты, поскольку антивирусные движки обычно не сканируют имена файлов.

Отправной точкой атаки является email с архивом RAR, который включает в себя файл со вредоносным именем файла: ziliao2.pdf`{echo,}|{base64,-d}|bash`.

Имя файла включает в себя Bash-совместимый код, который предназначен для выполнения команд при интерпретации оболочкой.

Стоит отметить, что простое извлечение файла из архива не вызывает его выполнения. Это происходит только тогда, когда скрипт оболочки или команда пытается считать имя файла.

Еще один важный аспект, который следует учитывать, заключается в том, что невозможно вручную создать имя файла с этим синтаксисом, что означает, что оно, вероятно, было создано с использованием другого языка, внешнего инструмента или скрипта, который обходит проверку ввода оболочки.

Запуск, в свою очередь, приводит к выполнению встроенного загрузчика с кодировкой Base64, который затем извлекает с внешнего сервера двоичный файл ELF для соответствующей системной архитектуры (x86_64, i386, i686, armv7l или aarch64).

Двоичный файл, со своей стороны, инициирует связь с C2 для получения зашифрованной полезной нагрузки VShell, декодирования и ее выполнения на хосте.

Trellix отмечает, что фишинговые электронные письма замаскированы под приглашение на опрос по косметической продукции, заманивая получателей денежным вознаграждением (10 юаней) за его за его заполнение.

При этом вектор социнженерии достотачно тонкий: пользователь отвлекается на содержание опроса, и наличие вложения может быть принято за документ или файл данных, связанный с опросом.

VShell - это инструмент удаленного доступа на основе Go, который в последние годы широко использовался китайскими APT, включая UNC5174, поддерживающий обратную оболочку, файловые операции, управление процессами, переадресацию портов и зашифрованную связь C2.

Причем вредоносное ПО работает полностью в памяти, избегая обнаружения на диске, не говоря уже о том, что оно может быть нацелено на широкий спектр устройств Linux.

Результаты анализа Trellix указывают на весьма опасную эволюцию в доставке вредоносных ПО для Linux, когда простое имя файла, встроенное в архив RAR, может быть задействовано для выполнения произвольных команд и злоупотребления доверенной средой выполнения.

В данном случае - обеспечивая работу мощного бэкдора VShell, способного полностью удаленно управлять системой.