В июне 2025 года исследователи обнаружили новый дроппер (программа-распространитель) вредоносного ПО для Linux, созданный на базе инструмента TINYSHELL. Анализ показал присутствие фрагментов кода, пересекающихся с другими образцами, используемыми группой UNC5325, в частности, с малварью PITHOOK. Это указывает на вероятную связь нового вредоноса с деятельностью данной группировки. UNC5325 считается китайской APT-группой (Advanced Persistent Threat), нацеленной на кибершпионаж. В прошлом она уже была замечена в эксплуатации уязвимости CVE-2024-21893 в устройствах Ivanti Connect Secure.
Описание
Механизм заражения начинается с выполнения дроппера, который создает на файловой системе два ключевых компонента: инструмент для внедрения кода Kubo Injector и саму полезную нагрузку бэкдора. Посредством функции system дроппер запускает Kubo Injector с параметрами, указывающими на необходимость внедрения кода в процесс httpd (веб-сервер Apache). Важно отметить, что Kubo Injector уже использовался UNC5325 в январе 2024 года для инъекции малвари PITHOOK в веб-процесс устройства Ivanti Connect Secure.
После успешного внедрения в память процесса httpd основная вредоносная нагрузка активируется. Её первым действием становится модификация таблицы PLT (Procedure Linkage Table) библиотеки libapr-1.so.0, что позволяет перехватывать сетевые функции accept и accept4. Этот метод позволяет злоумышленнику маскировать своё присутствие, используя легитимный трафик веб-сервера для скрытного управления системой. Аналогичный механизм перехвата ранее был реализован в малвари PITHOOK от той же группы.
Перехваченные функции фильтруют входящие соединения, обрабатывая только те, что исходят из определённого диапазона портов отправителя (с 63423 по 63433). Это служит своеобразным секретным сигналом для активации бэкдора. Основная логика обработки команд практически идентична открытой версии TINYSHELL, однако обнаружено ключевое отличие: после выполнения некоторых команд бэкдор отправляет в ответ фиксированную 16-байтовую строку. Эта нестандартная реализация демонстрирует высокую степень сходства с малварью irad, которая ассоциируется с другой китайской группировкой - UNC3886. В частности, новый бэкдор возвращает строку "MjEyMzJmMjk3YTU3", в то время как irad отвечает строкой "ek63a21km7WSWkfk".
Выявленное сходство усиливает гипотезу, выдвинутую аналитиками Mandiant в январе 2024 года, о возможной связи или даже тождественности группировок UNC3886 и UNC5325. Совпадения в коде указывают либо на одно и то же оперативное подразделение, либо на активный обмен инструментарием между разными группами.
Помимо стандартного набора команд TINYSHELL для загрузки и выгрузки файлов, а также удалённого выполнения команд, бэкдор обладает новой функциональностью. В него добавлена команда для активации SOCKS5-прокси, что позволяет злоумышленнику использовать скомпрометированный сервер в качестве прыжкового узла для дальнейшего движения по сети. Реализация этой функции представляет собой почти точную копию кода из популярного китайского инструмента для проброса трафика EarthWorm (EW). Несмотря на то что оригинальный разработчик прекратил его распространение, многочисленные копии исходного кода остаются доступны на GitHub, что делает его легкодоступным ресурсом для киберпреступников.
Обнаружение этого нового бэкдора подчёркивает продолжающуюся эволюцию инструментария китайских групп, нацеленных на корпоративную и критическую инфраструктуру. Использование легитимного трафика веб-сервера для маскировки делает обнаружение сложной задачей. Организациям, особенно использующим устройства наподобие Ivanti Connect Secure, рекомендуется проверить свои системы на наличие признаком компрометации и обратить внимание на сетевую активность, исходящую из нестандартных портов в указанном диапазоне.
Индикаторы компрометации
SHA256
- 2b257b31f4377330bd8fcc4fe9728faee0ab4092990debe49bbcf0444d4c1437
- 6aa22d9a89711816e4ccc4d57634a22dffbb78c43bdec964c2117d525c7e63e5
- 85c64391d54b5854bab8478806d0f4ba00236402868e613fc849b29940e96bcc
