Кроссплатформенный Linux-бэкдор с RC4-C2 и DNS-приманкой

Команда Malwarehunter обнаружила ранее нераспознанный Linux-бэкдор, который в момент публикации показал «нулевой уровень обнаружения» в сервисе VirusTotal. В отчёте описаны механика работы вредоносного кода, способы обновления конфигурации и используемые каналы управления — всё это указывает на готовность оператора к длительному и скрытному контролю над скомпрометированными машинами.

Краткая справка и замечание о датах

В представленном материале есть противоречие по датам: говорится, что образец был «в начале марта 2023 года» обнаружен Malwarehunter, при этом отмечено, что вредоносный код «присутствует с 27 января 2026 года». Вероятно, одна из дат указана ошибочно. Это стоит учитывать при оценке временной шкалы заражений и активности операторов.

Упаковка и ключевые артефакты

Вредонос поставлялся в tar-архиве out_linux.tar, который содержал:

• netd — 64‑битный ELF-бэкдор;
• netd.lck — зашифрованный файл конфигурации.

Файл бэкдора реализует механизм мьютекса с использованием именованного семафора, чтобы предотвращать многократный запуск, однако эта блокировка может быть обойдена с помощью специального аргумента запуска.

Механика работы и сетевые компоненты

После инициализации бэкдор:

• выполняет блокировку процесса и загружает конфигурацию;
• расшифровывает конфигурацию посредством операций XOR с назначенными ключами — это обеспечивает возможность удалённого обновления и модификации данных оператором;
• демонизируется и создаёт пару псевдотерминалов (PTY), после чего несколько раз разветвляется, что приводит к созданию интерактивной оболочки и отдельного потока для обработки сообщений командно‑контрольного канала (C2);
• вся передача команд и данных по C2 защищена шифрованием RC4.

DNS, разрешение имён и инфраструктура C2

Управление подключениями к C2 включает функцию resolve_name, которая выполняет DNS‑запросы для разрешения доменов; в отчёте отмечено использование Google DNS в качестве «приманки», вероятно, для маскировки трафика или в качестве резервного резолвера.

В отчёте перечислены связанные домены, подключённые к динамическому сервису DNS, что позволяет злоумышленнику часто менять IP‑адреса C2:

• camdvr.org
• giize.com

Анализ потенциальных IP‑адресов C2 указывает на возможность компрометации сетевых устройств, которые могли быть использованы для проксирования или усиления устойчивости инфраструктуры операторов.

Возможности бэкдора

Список реализованных команд и функций, доступных через C2, включает:

• передачу файлов (загрузка и выгрузка);
• выполнение команд командной строки и создание интерактивной оболочки;
• получение списков каталогов и манипуляции с файлами;
• управление процессами;
• функцию самоудаления;
• регулярную отправку системной информации и другой разведданных оператору.

Кроссплатформенность и масштабы угрозы

В VirusTotal найдены документы, указывающие на существование Mac‑версии того же бэкдора. Это подтверждает тенденцию злоумышленников к реализации аналогичных методов в нескольких операционных системах — в частности, в Linux и macOS. Наличие кроссплатформенных образцов увеличивает риск широкого распространения и усложняет реагирование.

«Нулевой уровень обнаружения в VirusTotal» — факт, который подчёркивает необходимость быстрого обмена индикаторами компрометации (IOC) и внедрения дополнительных мер обнаружения на стороне инфраструктуры.

Индикаторы компрометации (IOCs)

• Файлы: out_linux.tar, netd, netd.lck;
• Домены: camdvr.org, giize.com;
• Протоколы/методы: RC4, XOR‑шифрование конфигурации, использование PTY, DNS‑разрешение через Google DNS;
• Поведение: демонизация, создание интерактивной оболочки, функции самоудаления и разгрузки файлов.

Что делать организациям и пользователям

На основе описанных характеристик целесообразно принять следующие меры:

• проверить наличие указанных файлов и артефактов на хостах и в образах;
• анализировать сетевой трафик на наличие соединений с перечисленными доменами и подозрительных DNS‑запросов (особенно частых разрешений для динамических доменов);
• внедрить эвристики для обнаружения атипичного поведения процессов: демонизация, создание PTY, частые fork/создания подпроцессов;
• ограничить возможность запуска бинарных файлов из подозрительных источников и усилить контроль целостности системных и пользовательских бинарников;
• при подозрении на компрометацию провести полноценное расследование инцидента и сменить учётные данные/ключи, которые могли быть скомпрометированы.

Вывод

Описанный бэкдор демонстрирует зрелую реализацию механизма удалённого управления: шифрование C2‑канала, возможность обновления конфигурации, набор функциональных команд и кроссплатформенные наработки. Комбинация «нулевой детекции» в VirusTotal и использования динамической DNS делает эту угрозу особенно коварной. Организациям и администраторам необходимо учитывать эти характеристики при построении детекции и реагирования, а также оперативно распространять IOC внутри сообществ безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.