Китайские хакерские группы используют новый бэкдор VShell для атак на Linux-системы

Атака начинается со спам-рассылки, содержащей RAR-архив, замаскированный под опрос о косметических продуктах с предложением небольшого денежного вознаграждения. В отличие от традиционной фишинг-атаки, письмо не нацелено на кражу учётных данных, а рассчитывает на любопытство пользователя, который распакует архив. Внутри архива находится файл со специально сформированным именем, содержащим Base64-кодированную Bash-команду. Это имя файла, при обработке стандартными shell-операциями, такими как "ls", "find" или "eval", автоматически запускает выполнение команды без какого-либо взаимодействия с пользователем и без необходимости наличия прав на выполнение.

Процесс заражения состоит из трёх этапов. На первом этапе вредоносное имя файла декодируется и передаётся в Bash, выполняя команду для загрузки второго Bash-сценария с жёстко заданного C2-сервера (Command and Control - сервер управления). Этот скрипт определяет архитектуру системы (x86, x64, ARM, ARM64) и загружает соответствующий ELF-бинарник. Второй этап обеспечивает устойчивость выполнения, пытаясь запустить бинарник в нескольких доступных для записи каталогах с использованием "nohup" для фонового выполнения и подавления вывода. На третьем этапе ELF-бинарник получает с сервера полезную нагрузку, зашифрованную с помощью XOR, расшифровывает её в памяти и выполняет с помощью "fexecve()", что позволяет избежать создания артефактов на диске. Финальная нагрузка, VShell, маскируется под поток ядра, чтобы избежать обнаружения.

Возможности VShell включают доступ через обратную оболочку (reverse shell), загрузку и выгрузку файлов, управление процессами и перенаправление TCP/UDP-портов, что делает его универсальным инструментом для пост-эксплуатации. Его написание на Go обеспечивает совместимость с различными архитектурами Linux, а использование XOR-шифрования для общения с C2 и выполнение исключительно в памяти повышает его скрытность. Бэкдор также реализует механизм защиты от повторного заражения, проверяя наличие маркерного файла.

Атака, основанная на внедрении команд через имена файлов, эксплуатирует распространённую уязвимость в shell-скриптах, которые не проверяют и не обеззараживают имена файлов при операциях вроде "eval "echo $f"" или "ls | while read f". Традиционные антивирусные средства часто не справляются с обнаружением этой угрозы, поскольку имена файлов редко сканируются, а статический анализ может пропустить закодированные полезные нагрузки. Поведенческое обнаружение также является сложной задачей, если системы не отслеживают необычную активность в shell или подозрительный C2-трафик. Появление VShell подчёркивает растущую изощрённость вредоносного ПО для Linux и указывает на необходимость развития advanced-защиты от безфайловых угроз, эксплуатирующих доверенные системные утилиты.

Активность вокруг VShell связывают с несколькими китайскими APT-группами. Группа UNC5174 (также известная как Uteus), классифицируемая как спонсируемая государством, была замечена в использовании VShell в целевых кампаниях. Группа известна использованием уязвимостей в программном обеспечении, таком как ConnectWise ScreenConnect и SAP NetWeaver, для доставки этого бэкдора наряду с другими полезными нагрузками. Мотивацией группы считается сбор разведданных для правительства Китая, а также возможная продажа доступа к скомпрометированным окружениям на теневых рынках.

Исследователи также обнаружили совпадения в использовании VShell и инфраструктуры, связанной с группой Earth Lamia, в ходе кампании «Operation DRAGONCLONE», нацеленной на китайскую телекоммуникационную компанию. В этой кампании VShell использовался совместно с другим вредоносным ПО, VELETRIX. Группа CL-STA-0048, которую относят к связанной с Министерством государственной безопасности Китая (MSS) или его подрядчиками, применяла VShell в атаках через уязвимость в SAP NetWeaver. Ещё одна группа, UNC5221, использовала VShell в связке с Rust-инструментом KrustyLoader для эксплуатации той же уязвимости SAP, развёртывая веб-шеллы для доставки дополнительных нагрузок. Деятельность группы согласуется с крупномасштабным сканированием интернета и кампаниями по эксплуатации уязвимостей систем на базе SAP NetWeaver.

SHA256

• 20011cbb63b69bf36e6bcd7092d54d294a16c0f9e3209a85d4b5a02238bd928e
• 36b4ad17ac45dd371a79600ad09a91233d087abc2038b66f3911d4fe1dc2a6f0
• 3ff96535114625069b4bad655b46e82b9b214bcb17815454f38cf554a9846263
• 5bde055523d3b5b10f002c5d881bed882e60fa47393dff41d155cab8b72fc5f4
• 6b7d2af6eeff8f2b73dae75037ca783e0f38510caadf5a9ca1f7be5bb9aed70d
• 8ef56b48ac164482dddf6a80f7367298d7b4d21be3aadf0ee1d82d63e3ac0c0a
• 9171f1d87e8f575ff16b16eea2b7eb14e4d3f2348fa23738ed11dfc560073a59
• bcc10098b91bbb841ed5c1ec663436738479d071a96145f43b121881a5517d35
• d1119e6de574a16d7cda385555da5a742ae2cec44fdd322603a8c31e3055a2d2
• d7d5c1f933846823ceb0f8c69bb41801713a6922741183501c344081a48f500b