الباحثون يكشفون إطار استغلال ShadowHS لنظام لينكس

العربية

كشفت مختبرات Cyble Research and Intelligence Labs عن ShadowHS، وهو إطار متقدم خالٍ من الملفات للاستغلال ما بعد الاختراق على أنظمة لينكس. يمكن الأداة من إجراء عمليات خفية في الذاكرة ووصول طويل الأمد للمهاجمين. يتضمن نسخة مسلحة من hackshell وتقنيات تهرب متقدمة.

أعلنت Cyble Research and Intelligence Labs (CRIL) عن اكتشاف ShadowHS في 30 يناير 2026. يستهدف هذا الإطار للاستغلال ما بعد الاختراق بيئات لينكس، ويعمل بالكامل في الذاكرة لتجنب ترك آثار على القرص. بخلاف البرمجيات الضارة التقليدية، يستخدم ShadowHS محمل shell مشفر ينشر hackshell معدل، مشفر بتشفير AES-256-CBC، وتخطي بايتات Perl، وفك الضغط gzip. يتم تشغيل الحمولة عبر /proc//fd/ مع argv[0] مزيف، مما يضمن عدم وجود آثار في نظام الملفات. بمجرد النشر، يركز ShadowHS على الاستطلاع الأولي، بما في ذلك بصمة أدوات أمان المضيف مثل CrowdStrike وTanium وSophos وMicrosoft Defender، بالإضافة إلى وكلاء السحابة وOT/ICS. يقيم الاختراقات السابقة ونزاهة النواة لمساعدة المشغلين في تقييم وضعية أمان النظام. يصف CRIL الإطار بأنه يركز على المشغل، مع سلوك وقت التشغيل المقيد الذي يسمح بتفعيل انتقائي لقدرات مثل الوصول إلى البيانات الاعتمادية، والحركة الجانبية، وتصعيد الامتيازات، وتعدين العملات المشفرة، واستخراج البيانات. > «يظهر ShadowHS فصلًا واضحًا بين النشاط في وقت التشغيل المقيد والقدرات النائمة الواسعة»، يلاحظ CRIL. «هذا يشير إلى منصة استغلال ما بعد الاختراق موجهة بالمشغل عن عمد بدلاً من البرمجيات الضارة الآلية». لاستخراج البيانات، يستخدم ShadowHS نفقًا في مساحة المستخدم عبر GSocket، متجاوزًا القنوات الشبكية القياسية والجدران النارية. تشمل المتغيرات أنفاقًا قائمة على DBus وأسلوب netcat، التي تحافظ على طوابع زمنية الملفات والأذونات وحالة النقل الجزئية. تغطي الوحدات النائمة إفراغ الذاكرة للبيانات الاعتمادية، والحركة القائمة على SSH مع مسح بالقوة الغاشمة، وثغرات النواة للتصعيد، والتعدين عبر XMRig وGMiner وlolMiner. كما يشمل إجراءات مكافحة المنافسة لإنهاء المنافسين مثل Rondo وKinsing وبوابات Ebury الخلفية. يبرز الإطار الثغرات في دفاعات لينكس، حيث تفشل مضادات الفيروسات التقليدية ضد التهديدات في الذاكرة. يؤكد CRIL على الحاجة إلى مراقبة سلوك العمليات، وبيانات النواة، والاستخبارات الاستباقية لمواجهة مثل هذه الأدوات التكيفية. > «يمثل ShadowHS إطار لينكس كامل السيطرة من قبل المشغل، تكيفي، مصمم للخفاء والوصول طويل الأمد»، أفاد CRIL. يكشف هذا الاكتشاف عن التهديدات المتطورة لأنظمة لينكس، خاصة في البيئات الشركاتية وبنية التحتية الحرجة.

مقالات ذات صلة

Illustration depicting the Linux CopyFail vulnerability enabling root access exploits alongside Ubuntu's DDoS-induced outage.
صورة مولدة بواسطة الذكاء الاصطناعي

Linux CopyFail exploit threatens root access amid Ubuntu outage

من إعداد الذكاء الاصطناعي صورة مولدة بواسطة الذكاء الاصطناعي

A critical Linux vulnerability known as CopyFail, tracked as CVE-2026-31431, allows attackers to gain root access on systems running kernels since 2017. Publicly released exploit code has heightened risks for data centers and personal devices. Ubuntu's infrastructure has been offline for over a day due to a DDoS attack, hampering security communications.

Researchers uncover new SysUpdate malware variant targeting Linux

Researchers at LevelBlue have identified a new variant of the SysUpdate malware aimed at Linux systems during a digital forensics and incident response engagement. The malware disguises itself as a legitimate system service and employs advanced encryption for command-and-control communications. By reverse-engineering it, the team created tools to decrypt its traffic more quickly.

New SysUpdate malware variant targets Linux systems

من إعداد الذكاء الاصطناعي

A new variant of the SysUpdate malware has been discovered targeting Linux systems, featuring advanced encryption for command-and-control communications. Security researchers at LevelBlue identified the threat during a digital forensics engagement and developed a tool to decrypt its traffic. The malware disguises itself as a legitimate system service to evade detection.

لينكس

New fragnesia linux kernel flaw disclosed

لينكس

US and Europe disrupt SocksEscort proxy network

لينكس

Greg Kroah-Hartman runs AI-assisted fuzzing on Linux kernel

Duet Night Abyss launcher spreads malware on Steam

Developers of the gacha RPG Duet Night Abyss have apologized for a cybersecurity incident that distributed malware to players' PCs via a launcher update on March 18. The malware, identified as Trojan:MSIL/UmbralStealer.DG!MTB, targets passwords and cryptocurrency. Players receive in-game compensation as the team implements security enhancements.

Linux kernel could gain kill switch for vulnerable functions

من إعداد الذكاء الاصطناعي

NVIDIA engineer Sasha Levin has proposed a new mechanism for the Linux kernel that would let administrators quickly disable flawed functions on live systems. The patch, called killswitch, aims to mitigate privilege escalation risks without waiting for full fixes. It remains under review on the Linux Kernel Mailing List.

09 مايو 2026 20:17

New dirty frag exploit grants root access on linux systems

09 مارس 2026 15:31

Researchers identify ClipXDaemon malware targeting Linux cryptocurrency users

06 مارس 2026 04:23

Linux rootkits advance with eBPF and io_uring techniques

26 فبراير 2026 01:40

The hacker news publishes weekly threatsday bulletin

14 فبراير 2026 06:39

SSHStalker botnet uses IRC to target Linux servers

يستخدم هذا الموقع ملفات تعريف الارتباط

نستخدم ملفات تعريف الارتباط للتحليلات لتحسين موقعنا. اقرأ سياسة الخصوصية الخاصة بنا سياسة الخصوصية لمزيد من المعلومات.
رفض