کمیته رکن چهارم – پژوهشگران امنیت سایبری از زنجیره حملهای تازه خبر دادهاند که با استفاده از ایمیلهای فیشینگ، بدافزار متنباز VShell را بر روی سیستمهای لینوکسی مستقر میکند. این زنجیره آلودگی با یک فایل RAR مخرب آغاز میشود که نام فایل آن بهگونهای طراحی شده تا از تزریق فرمان در پوسته سوءاستفاده کرده و اجرای کد مخرب را ممکن سازد.
به گزارش کمیته رکن چهارم، این روش به مهاجمان اجازه میدهد بدون نیاز به اجرای مستقیم فایل، تنها با پردازش نام آن در اسکریپت یا پوسته، بار مخرب فعال شود. در ادامه، اسکریپتهای رمزگذاریشده با Base64 فایل ELF مناسب با معماری سیستم قربانی را از سرور خارجی دانلود کرده و ارتباط با مرکز فرماندهی برقرار میکنند تا دربپشتی VShell در حافظه بارگذاری شود.
ایمیلهای مورد استفاده در این کارزار به شکل دعوتنامهای برای نظرسنجی درباره محصولات زیبایی طراحی شده و با وعده پاداش مالی کاربران را فریب میدهند. VShell که ابزاری برای دسترسی از راه دور بر پایه زبان Go است، پیشتر نیز توسط گروههای هکری از جمله UNC5174 مورد استفاده قرار گرفته و قابلیتهایی مانند reverse shell، مدیریت فایلها، کنترل فرایندها و ارتباط رمزگذاریشده دارد. اجرای کامل این بدافزار در حافظه موجب میشود شناسایی آن توسط ابزارهای امنیتی مبتنی بر دیسک دشوارتر شود.
همزمان، شرکت Picus Security نیز از ابزار جدیدی با نام RingReaper پرده برداشته است. این ابزار با بهرهگیری از قابلیت io_uring در کرنل لینوکس، عملیات خود را بهصورت ناهمزمان اجرا میکند و از دید بسیاری از ابزارهای پایش رفتار و پلتفرمهای EDR پنهان میماند. RingReaper میتواند فرآیندها، نشستهای فعال، ارتباطات شبکهای و اطلاعات کاربری را شناسایی کرده و حتی برای افزایش سطح دسترسی از باینریهای SUID سوءاستفاده کند.
کارشناسان تأکید میکنند که این تحولات نشاندهنده تکامل قابل توجه بدافزارهای لینوکس است؛ جایی که حتی نام یک فایل میتواند به نقطه شروع اجرای کد مخرب تبدیل شود و ابزارهای جدید مانند RingReaper میتوانند بسیاری از مکانیزمهای دفاعی سنتی را دور بزنند.
