UNC5325: TINYSHELL-производное для Linux с модификацией libapr-1.so.0

Источник: sect.iij.ad.jp
В июне 2025 года исследователи обнаружили новое вредоносное ПО для Linux, производное от TINYSHELL, которое, по-видимому, связано с группой кибершпионажа UNC5325, ассоциируемой с китайскими кибероперациями. Анализ указывает на сходство кода с ранее замеченными инструментами этой группы, в частности с PITHOOK, и показывает целенаправленный подход к сохранению скрытого присутствия в скомпрометированных системах.
Краткое содержание находки
Ключевые моменты из отчёта:
- Обнаружен дроппер вредоносного ПО, сходный по коду с известными инструментами UNC5325 (включая PITHOOK).
- Исторически UNC5325 эксплуатировала уязвимости, например CVE-2024-21893 в Ivanti Connect Secure, для получения доступа к целям.
- После выполнения дроппер инициализирует инжектор Kubo, предназначенный для внедрения и загрузки компонентов в файловую систему.
Технология атаки: как работает вредоносное ПО
Технический анализ показывает сложный многоэтапный механизм эксплуатации и удержания доступа:
- Дроппер разворачивает инжектор Kubo, который внедряет код в процессы и записывает полезную нагрузку в файловую систему.
- Создаваемое вредоносное ПО модифицирует таблицу привязки процедур (PLT) в системной библиотеке поддержки Apache — libapr-1.so.0.
- В результате модификации перехватываются системные вызовы accept и accept4, что позволяет вредоносному коду подделывать и маскировать сетевые коммуникации под легитимные взаимодействия с веб‑сервером.
Вредоносное ПО подделывает коммуникации, которые напоминают законные взаимодействия с веб‑сервером, позволяя злоумышленникам осуществлять контроль незаметно.
Последствия для безопасности
Изменение ключевой системной библиотеки, ответственной за сетевые функции, даёт злоумышленникам несколько преимуществ:
- Скрытность: перехват и подмена сетевых вызовов затрудняют обнаружение подозрительной активности традиционными средствами мониторинга.
- Долгое удержание доступа: модификация libapr-1.so.0 обеспечивает стабильный вектор для восстановления контроля даже после частичной чистки.
- Расширенные возможности шпионажа: перехват сообщений и их манипуляция позволяют извлекать больше данных и маскировать эксфильтрацию.
Индикаторы компрометации (IOC)
Отчёт содержит конкретные IOC, которые критичны для обнаружения и реагирования. Среди них отмечены:
- SHA256‑хэши: дроппера, инжектора Kubo и модифицированного бинарного файла вредоносного ПО.
- Изменённый файл библиотеки: libapr-1.so.0 с модифициями PLT для accept/accept4.
- Поведенческие сигнатуры: процедуры инъекции, паттерны загрузки компонентов в файловую систему и сетевые последовательности, имитирующие легитимный трафик веб‑сервера.
Важно: точные значения SHA256 и другие детальные IOC приведены в самом техническом отчёте и должны быть интегрированы в средства EDR/AV и процессы Threat Hunting.
Рекомендации по защите и реагированию
На основе анализа следует принять следующие практические меры:
- Немедленно проверить и, при необходимости, закрыть доступные уязвимости, особенно связанные с Ivanti Connect Secure (CVE-2024-21893).
- Сверить текущие файлы и их хэши с IOC из отчёта — в первую очередь для дроппера, Kubo и libapr-1.so.0.
- Провести аудит целостности системных библиотек и настроить мониторинг изменений файлов в критичных каталогах.
- Развернуть или обновить правила в EDR/AV для обнаружения поведения, характерного для инъекции и перехвата accept/accept4.
- Отслеживать аномалии сетевого трафика, особенно те, которые маскируют взаимодействие с веб‑сервером.
- Изолировать и форенсически исследовать подозрительные хосты; при подтверждении компрометации — выполнить план реагирования и восстановление из надёжных резервных копий.
Вывод
Обнаружение Linux‑вредоносного ПО на базе TINYSHELL, использующего инжектор Kubo и модификацию libapr-1.so.0, свидетельствует о высокой степени зрелости и скрытности операций UNC5325. Организациям, использующим уязвимые сервисы и веб‑стеки, рекомендуется срочно актуализировать защиту, внедрить детектирование по предоставленным IOC и усилить мониторинг сетевого и файлового поведения.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



