VShell

Source: NVISO (blog). Dans un billet signé par Maxime, NVISO présente une analyse technique de VShell, un outil d’intrusion en langue chinoise observé dans des activités d’espionnage à long terme, avec un suivi d’infrastructure mené sur plusieurs mois et des notifications de victimes réalisées avec l’appui de Team Cymru. NVISO indique que VShell est utilisé par plusieurs acteurs (étatiques et indépendants). Plusieurs intrusions ont été publiquement attribuées à UNC5174 (supposé courtier d’accès initial lié au MSS chinois), souvent via l’exploitation de systèmes exposés. Toutefois, la disponibilité publique et l’usage élargi de VShell empêchent une attribution exclusive à UNC5174. L’activité observée augmente en Amérique du Sud, Afrique et APAC. ...

Selon Trellix (Advanced Research Center), une campagne cible Linux via un vecteur inédit: un nom de fichier piégé dans une archive RAR qui déclenche l’exécution Bash lors d’opérations de scripts non sécurisées (eval/echo/printf). L’analyse technique détaille une chaîne fileless, multi‑étapes, aboutissant au backdoor VShell exécuté en mémoire et masqué en processus noyau. • Étapes clés de l’infection 🐧 Vecteur initial (spam + .rar): un e‑mail appât renferme une archive contenant un fichier dont le nom embarque du Bash encodé Base64. L’extraction seule ne l’exécute pas; l’exécution survient lorsque des scripts manipulent les noms de fichiers sans sanitisation (ex: for f in *, eval “echo $f”, find/xargs avec eval…). Stage 1 (déclencheur): le nom de fichier évalue un downloader Bash (via curl/wget) vers le C2 47.98.194.60. Stage 2 (downloader): détermine l’architecture (x86, x64, ARM, ARM64), télécharge un ELF adapté, et l’exécute silencieusement avec nohup via plusieurs chemins de repli. Stage 3 (loader ELF): contacte le C2, reçoit une charge XOR 0x99, la décrypte en mémoire puis l’exécute avec fexecve(), tout en se déguisant en thread noyau « [kworker/0:2] » et en évitant la ré‑infection via un marqueur (/tmp/log_de.log). L’étape initiale est alignée sur l’activité du dropper Snowlight (abus de noms de fichiers + exécution Bash). • Charge finale: VShell (backdoor Go) 🕵️‍♂️ ...