UNC5325: TINYSHELL-производное для Linux с модификацией libapr-1.so.0

UNC5325: TINYSHELL-производное для Linux с модификацией libapr-1.so.0

Источник: sect.iij.ad.jp

В июне 2025 года исследователи обнаружили новое вредоносное ПО для Linux, производное от TINYSHELL, которое, по-видимому, связано с группой кибершпионажа UNC5325, ассоциируемой с китайскими кибероперациями. Анализ указывает на сходство кода с ранее замеченными инструментами этой группы, в частности с PITHOOK, и показывает целенаправленный подход к сохранению скрытого присутствия в скомпрометированных системах.

Краткое содержание находки

Ключевые моменты из отчёта:

  • Обнаружен дроппер вредоносного ПО, сходный по коду с известными инструментами UNC5325 (включая PITHOOK).
  • Исторически UNC5325 эксплуатировала уязвимости, например CVE-2024-21893 в Ivanti Connect Secure, для получения доступа к целям.
  • После выполнения дроппер инициализирует инжектор Kubo, предназначенный для внедрения и загрузки компонентов в файловую систему.

Технология атаки: как работает вредоносное ПО

Технический анализ показывает сложный многоэтапный механизм эксплуатации и удержания доступа:

  • Дроппер разворачивает инжектор Kubo, который внедряет код в процессы и записывает полезную нагрузку в файловую систему.
  • Создаваемое вредоносное ПО модифицирует таблицу привязки процедур (PLT) в системной библиотеке поддержки Apache — libapr-1.so.0.
  • В результате модификации перехватываются системные вызовы accept и accept4, что позволяет вредоносному коду подделывать и маскировать сетевые коммуникации под легитимные взаимодействия с веб‑сервером.

Вредоносное ПО подделывает коммуникации, которые напоминают законные взаимодействия с веб‑сервером, позволяя злоумышленникам осуществлять контроль незаметно.

Последствия для безопасности

Изменение ключевой системной библиотеки, ответственной за сетевые функции, даёт злоумышленникам несколько преимуществ:

  • Скрытность: перехват и подмена сетевых вызовов затрудняют обнаружение подозрительной активности традиционными средствами мониторинга.
  • Долгое удержание доступа: модификация libapr-1.so.0 обеспечивает стабильный вектор для восстановления контроля даже после частичной чистки.
  • Расширенные возможности шпионажа: перехват сообщений и их манипуляция позволяют извлекать больше данных и маскировать эксфильтрацию.

Индикаторы компрометации (IOC)

Отчёт содержит конкретные IOC, которые критичны для обнаружения и реагирования. Среди них отмечены:

  • SHA256‑хэши: дроппера, инжектора Kubo и модифицированного бинарного файла вредоносного ПО.
  • Изменённый файл библиотеки: libapr-1.so.0 с модифициями PLT для accept/accept4.
  • Поведенческие сигнатуры: процедуры инъекции, паттерны загрузки компонентов в файловую систему и сетевые последовательности, имитирующие легитимный трафик веб‑сервера.

Важно: точные значения SHA256 и другие детальные IOC приведены в самом техническом отчёте и должны быть интегрированы в средства EDR/AV и процессы Threat Hunting.

Рекомендации по защите и реагированию

На основе анализа следует принять следующие практические меры:

  • Немедленно проверить и, при необходимости, закрыть доступные уязвимости, особенно связанные с Ivanti Connect Secure (CVE-2024-21893).
  • Сверить текущие файлы и их хэши с IOC из отчёта — в первую очередь для дроппера, Kubo и libapr-1.so.0.
  • Провести аудит целостности системных библиотек и настроить мониторинг изменений файлов в критичных каталогах.
  • Развернуть или обновить правила в EDR/AV для обнаружения поведения, характерного для инъекции и перехвата accept/accept4.
  • Отслеживать аномалии сетевого трафика, особенно те, которые маскируют взаимодействие с веб‑сервером.
  • Изолировать и форенсически исследовать подозрительные хосты; при подтверждении компрометации — выполнить план реагирования и восстановление из надёжных резервных копий.

Вывод

Обнаружение Linux‑вредоносного ПО на базе TINYSHELL, использующего инжектор Kubo и модификацию libapr-1.so.0, свидетельствует о высокой степени зрелости и скрытности операций UNC5325. Организациям, использующим уязвимые сервисы и веб‑стеки, рекомендуется срочно актуализировать защиту, внедрить детектирование по предоставленным IOC и усилить мониторинг сетевого и файлового поведения.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: