Может ли файл убить Linux одним своим названием? Китайские хакеры доказали, что да

Исследователи компании Trellix раскрыли необычную схему атак на Linux, в которой ключевым элементом становится не вложение с вредоносным содержимым, а само имя файла внутри архива. Кампания начинается с массовой рассылки писем, оформленных как приглашение пройти опрос о косметических средствах с обещанием денежного бонуса. Вложения содержат RAR-архив с файлом, название которого выглядит как «ziliao2.pdf`{echo,<команда в кодировке Base64>}|{base64,-d}|bash`».

Особенность этой атаки в том, что вредоносный код встроен прямо в имя файла, а не в его содержимое. При попытке обработки такого названия небезопасными скриптами происходит внедрение команд. Трюк работает за счёт уязвимой практики использования в оболочках конструкций вроде eval или echo без корректной фильтрации. Антивирусные решения обычно не анализируют имена файлов, что делает этот метод особенно коварным.

Для запуска вредоносного кода недостаточно просто извлечь файл из архива. Опасность возникает, когда оболочка или автоматический скрипт пытаются распарсить его имя. Тогда из строки извлекается закодированный в Base64 загрузчик, который скачивает и запускает ELF-бинарник под соответствующую архитектуру системы — будь то x86_64, i386, i686, armv7l или aarch64. Загруженный модуль связывается с управляющим сервером, получает зашифрованный бэкдор VShell, расшифровывает его и запускает в оперативной памяти.

VShell — инструмент удалённого администрирования на языке Go, который активно применяют китайские группировки, включая UNC5174. Он поддерживает обратный шелл, работу с файлами, управление процессами, проброс портов и зашифрованное взаимодействие с сервером управления. Программа полностью работает в памяти, не оставляя следов на диске, что серьёзно осложняет её обнаружение. Ещё одна угроза — способность поражать широкий спектр Linux-устройств.

Trellix подчёркивает, что сама техника создания подобных имён невозможна вручную: для этого применяются внешние инструменты или скрипты, обходящие стандартную проверку ввода в оболочке. Это указывает на хорошо подготовленную инфраструктуру атаки.

Параллельно компания Picus Security представила анализ нового постэксплуатационного инструмента RingReaper, который использует механизм асинхронного ввода-вывода io_uring в ядре Linux.

В отличие от стандартных вызовов read, write, send и connect, этот метод опирается на асинхронные примитивы, что позволяет обходить средства мониторинга, основанные на перехвате системных функций. RingReaper способен собирать сведения о процессах, сессиях, сетевых соединениях и пользователях, получать данные из /etc/passwd, использовать SUID-бинарники для повышения привилегий и стирать следы своей активности.

Обе разработки демонстрируют, насколько стремительно эволюционируют методы атак на Linux: от эксплуатации имён файлов в архивах до скрытого применения низкоуровневых функций ядра. Они показывают, что привычные средства защиты всё чаще оказываются неэффективны перед новыми подходами к маскировке и внедрению.