22.08.2025
1 хв
511
Дослідники Trellix викрили нову техніку зараження Linux, де шкідливий код вбудовується у назви файлів у RAR-архівах, що дозволяє зловмисникам обходити антивірусні перевірки та доставляти бекдор VShell
Атака починається з фішингового листа із вкладенням yy.rar, який маскується під опитування з обіцянкою грошової винагороди. Усередині архіву — файл із небезпечно сконструйованою назвою, що містить Base64-кодовану Bash-команду. Коли оболонка Linux інтерпретує ім’я файлу, воно викликає виконання шкідливого коду. Саме витяг архіву не запускає інфекцію, вона відбувається лише під час обробки імені файлу у скрипті чи команді. Завантажений скрипт отримує ELF-бінарник під архітектуру пристрою (x86, ARM тощо), який контактує з C2-сервером і завантажує бекдор VShell. Цей інструмент на Go надає віддалений доступ, можливість керування процесами, файлами та портами, а також забезпечує шифровану комунікацію.
Небезпека методу полягає у його здатності обходити традиційний захист: антивірусні продукти не перевіряють назви файлів, тому атака залишається непоміченою. VShell виконується у пам’яті, не залишаючи слідів на диску, що робить виявлення ще складнішим.
VShell давно застосовується китайськими APT–групами, зокрема UNC5174, для шпигунства та управління зламаними системами. Нова техніка свідчить про еволюцію методів доставки Linux-зловредів, що поєднують соціальну інженерію, креативне використання командних ін’єкцій та розширення атак на різні архітектури. Паралельно дослідники Picus Security описали інший інструмент — RingReaper, що зловживає інтерфейсом io_uring ядра Linux для приховування активності та підвищення привілеїв. Обидві загрози демонструють тенденцію до використання нових можливостей Linux для обходу традиційних засобів захисту.
Інцидент із VShell показує, що навіть імена файлів можуть стати вектором атаки, якщо системи не захищені. Бізнесу та адміністраторам Linux необхідно приділяти увагу не лише оновленням ПЗ, а й ретельній перевірці вкладень, а також розгортати поведінкові системи захисту. Зростаюча складність Linux-загроз вимагає інтелектуальних стратегій оборони, адже класичні методи перевірки вже не працюють.Нове шкідливе ПЗ для Linux поширюється через RAR-архіви з вбудованим у назви файлів кодом, що дозволяє обходити антивірусні перевірки та доставляти бекдор VShell; методика, описана Trellix, поєднує соціальну інженерію, Base64-команди та ін’єкцію в оболонку, після чого завантажується ELF-бінарник і запускається віддалений доступ у пам’яті.
