كشفت مختبرات Cyble Research and Intelligence Labs عن ShadowHS، وهو إطار متقدم خالٍ من الملفات للاستغلال ما بعد الاختراق على أنظمة لينكس. يمكن الأداة من إجراء عمليات خفية في الذاكرة ووصول طويل الأمد للمهاجمين. يتضمن نسخة مسلحة من hackshell وتقنيات تهرب متقدمة.
أعلنت Cyble Research and Intelligence Labs (CRIL) عن اكتشاف ShadowHS في 30 يناير 2026. يستهدف هذا الإطار للاستغلال ما بعد الاختراق بيئات لينكس، ويعمل بالكامل في الذاكرة لتجنب ترك آثار على القرص. بخلاف البرمجيات الضارة التقليدية، يستخدم ShadowHS محمل shell مشفر ينشر hackshell معدل، مشفر بتشفير AES-256-CBC، وتخطي بايتات Perl، وفك الضغط gzip. يتم تشغيل الحمولة عبر /proc//fd/ مع argv[0] مزيف، مما يضمن عدم وجود آثار في نظام الملفات. بمجرد النشر، يركز ShadowHS على الاستطلاع الأولي، بما في ذلك بصمة أدوات أمان المضيف مثل CrowdStrike وTanium وSophos وMicrosoft Defender، بالإضافة إلى وكلاء السحابة وOT/ICS. يقيم الاختراقات السابقة ونزاهة النواة لمساعدة المشغلين في تقييم وضعية أمان النظام. يصف CRIL الإطار بأنه يركز على المشغل، مع سلوك وقت التشغيل المقيد الذي يسمح بتفعيل انتقائي لقدرات مثل الوصول إلى البيانات الاعتمادية، والحركة الجانبية، وتصعيد الامتيازات، وتعدين العملات المشفرة، واستخراج البيانات. > «يظهر ShadowHS فصلًا واضحًا بين النشاط في وقت التشغيل المقيد والقدرات النائمة الواسعة»، يلاحظ CRIL. «هذا يشير إلى منصة استغلال ما بعد الاختراق موجهة بالمشغل عن عمد بدلاً من البرمجيات الضارة الآلية». لاستخراج البيانات، يستخدم ShadowHS نفقًا في مساحة المستخدم عبر GSocket، متجاوزًا القنوات الشبكية القياسية والجدران النارية. تشمل المتغيرات أنفاقًا قائمة على DBus وأسلوب netcat، التي تحافظ على طوابع زمنية الملفات والأذونات وحالة النقل الجزئية. تغطي الوحدات النائمة إفراغ الذاكرة للبيانات الاعتمادية، والحركة القائمة على SSH مع مسح بالقوة الغاشمة، وثغرات النواة للتصعيد، والتعدين عبر XMRig وGMiner وlolMiner. كما يشمل إجراءات مكافحة المنافسة لإنهاء المنافسين مثل Rondo وKinsing وبوابات Ebury الخلفية. يبرز الإطار الثغرات في دفاعات لينكس، حيث تفشل مضادات الفيروسات التقليدية ضد التهديدات في الذاكرة. يؤكد CRIL على الحاجة إلى مراقبة سلوك العمليات، وبيانات النواة، والاستخبارات الاستباقية لمواجهة مثل هذه الأدوات التكيفية. > «يمثل ShadowHS إطار لينكس كامل السيطرة من قبل المشغل، تكيفي، مصمم للخفاء والوصول طويل الأمد»، أفاد CRIL. يكشف هذا الاكتشاف عن التهديدات المتطورة لأنظمة لينكس، خاصة في البيئات الشركاتية وبنية التحتية الحرجة.
