Китайские хакеры показали, что один лишь файл может «убить» Linux своим названием.

Исследователи Trellix раскрыли необычную атаку на Linux: вредонос скрывается не в содержимом вложения, а в имени файла внутри архива. Жертве рассылают письма с «опросом о косметике» и обещанием бонуса, а вложенный RAR-файл содержит документ с названием вроде:

ziliao2.pdf\{echo,<команда в Base64>}|{base64,-d}|bash“

При обработке такого имени небезопасными скриптами выполняется внедрение кода. Так загружается ELF-бинарник под архитектуру системы, который запускает в памяти зашифрованный бэкдор VShell, применяемый китайскими группировками. Он работает скрытно, не оставляя следов на диске, и подходит для разных Linux-устройств.

Picus Security также представила новый инструмент RingReaper, использующий io_uring в ядре Linux. Он умеет собирать данные о процессах и пользователях, повышать привилегии и стирать следы, обходя стандартный мониторинг.

Обе разработки показывают: атаки на Linux стремительно развиваются — от внедрения через имена файлов до скрытого использования низкоуровневых функций ядра.