Các nhà nghiên cứu an ninh mạng vừa công bố chi tiết một attack chain mới sử dụng phishing emails để phát tán một open-source backdoor có tên VShell.
Theo phân tích của Sagar Bade (Trellix), đây là một Linux-specific malware infection chain bắt đầu từ spam email chứa một malicious RAR archive. Payload không được ẩn trong file content hay macro, mà được mã hóa trực tiếp ngay trong filename. Bằng cách lợi dụng shell command injection và Base64-encoded Bash payloads, attacker có thể biến một thao tác tưởng chừng đơn giản như liệt kê file thành trigger để thực thi malware tự động.
Kỹ thuật này khai thác một pattern nguy hiểm thường gặp trong shell scripts, khi filenames được xử lý mà không có đủ sanitization, khiến các lệnh đơn giản như eval hoặc echo trở thành công cụ để thực thi arbitrary code. Điểm nguy hiểm khác là hầu hết antivirus engines không quét filenames, dẫn đến khả năng evasion.
Attack bắt đầu với một email có file đính kèm RAR chứa một file với tên được crafted độc hại:
ziliao2.pdf`{echo,
Filename này chứa Bash-compatible code được thiết kế để chạy lệnh khi shell script hoặc command parse nó. Chỉ riêng việc giải nén file chưa đủ để trigger execution, mà nó chỉ xảy ra khi shell xử lý filename. Theo Trellix, loại filename này không thể tạo thủ công, mà phải được sinh ra bởi ngôn ngữ lập trình khác hoặc dropped qua một external tool/script có thể bypass shell input validation.
Sau đó, file này sẽ chạy một Base64-encoded downloader, tải về ELF binary phù hợp với kiến trúc hệ thống (x86_64, i386, i686, armv7l, aarch64). ELF này sẽ kết nối tới C2 server, nhận payload VShell được mã hóa, giải mã và thực thi trên host.
Phishing email được ngụy trang dưới dạng lời mời tham gia khảo sát sản phẩm làm đẹp, với phần thưởng 10 RMB. File đính kèm yy.rar không được nhắc đến rõ ràng, khiến người dùng dễ nhầm lẫn nó là tài liệu liên quan đến khảo sát.
VShell là một remote access tool viết bằng Go, đã được nhiều nhóm hacker Trung Quốc như UNC5174 sử dụng. Nó hỗ trợ reverse shell, file operations, process management, port forwarding, và encrypted C2 communications. Điểm nguy hiểm là malware này hoạt động hoàn toàn in-memory, tránh được detection dựa trên disk, và có khả năng tấn công nhiều loại Linux devices.
Trellix nhấn mạnh: “Đây là một bước tiến nguy hiểm trong Linux malware delivery, khi chỉ cần một filename nhúng trong RAR archive cũng có thể bị weaponize để thực thi arbitrary commands.” Attack chain này khai thác command injection trong shell loops, lợi dụng môi trường execution lỏng lẻo của Linux, và cuối cùng cài đặt backdoor VShell cho phép full remote control.
Song song đó, Picus Security cũng vừa công bố phân tích kỹ thuật về một Linux-focused post-exploit tool có tên RingReaper, lợi dụng framework io_uring của Linux kernel để né tránh monitoring tools. Thay vì gọi trực tiếp các system calls phổ biến như read, write, recv, send, hay connect, RingReaper dùng các io_uring_primitives (ví dụ: io_uring_prep_*) để thực hiện tương tự một cách asynchronous, giúp bypass hook-based detections và giảm dấu vết trong telemetry mà các EDR thường thu thập.
RingReaper có thể enumerate system processes, PTS sessions, network connections, logged-in users, lấy thông tin từ passwd, lạm dụng SUID binaries để privilege escalation, và tự xóa dấu vết sau khi chạy. Bằng việc tận dụng Linux kernel asynchronous I/O interface, nó hạn chế phụ thuộc vào system calls quen thuộc, từ đó giảm khả năng bị security tools phát hiện.
