Cyble Research and Intelligence Labsは、Linuxシステム向けの洗練されたファイルレスなポストエクスプロイトフレームワークであるShadowHSを明らかにした。このツールは、攻撃者に対してステルス性の高いメモリ内操作と長期アクセスを可能にする。hackshellの武器化バージョンと高度な回避技術を備えている。
Cyble Research and Intelligence Labs (CRIL)は、2026年1月30日にShadowHSの発見を発表した。このポストエクスプロイトフレームワークはLinux環境を標的とし、ディスク上に痕跡を残さないよう完全にメモリ上で動作する。通常のマルウェアとは異なり、ShadowHSは暗号化されたシェルローダーを使用し、AES-256-CBC暗号化、Perlバイトスキップ、gzip解凍で復号された修正版hackshellを展開する。ペイロードは/proc//fd/経由でスプーフィングされたargv[0]で実行され、ファイルシステム上のアーティファクトを残さない。展開後、ShadowHSは初期偵察に焦点を当て、CrowdStrike、Tanium、Sophos、Microsoft Defenderなどのホストセキュリティツール、ならびにクラウドおよびOT/ICSエージェントのフィンガープリンティングを行う。以前の侵害とカーネル整合性を評価し、オペレーターがシステムのセキュリティ姿勢を評価するのを支援する。CRILはこのフレームワークをオペレーター中心型と記述し、認証情報アクセス、ラテラルムーブメント、特権昇格、クリプトマイニング、データ外出しといった機能の選択的活性化を可能にする制限されたランタイム動作を持つ。> 「ShadowHSは、制限されたランタイム活動と広範な休眠機能の明確な分離を示しています」とCRILは指摘する。「これは、自動化マルウェアではなく、意図的なオペレーター主導のポストエクスプロイトプラットフォームを示唆しています。」 データ外出しのため、ShadowHSはGSocket上のユーザースペーストンネリングを使用し、標準ネットワークチャネルとファイアウォールを回避する。DBusベースやnetcatスタイルのトンネルバリアントがあり、ファイルタイムスタンプ、パーミッション、および部分転送状態を維持する。休眠モジュールは認証情報のためのメモリダンプ、ブルートフォーススキャン付きSSHベースムーブメント、カーネルエクスプロイトによる昇格、XMRig、GMiner、lolMinerによるマイニングをカバーする。また、Rondo、Kinsing、Eburyバックドアなどの競合を終了するアンチコンペティションメジャーを含む。このフレームワークは、伝統的なアンチウイルスがメモリ内脅威に対して失敗するLinux防御の脆弱性を強調する。CRILは、このような適応型ツールに対抗するためのプロセス動作監視、カーネルテレメトリ、積極的インテリジェンスの必要性を強調する。> 「ShadowHSは、ステルス性と長期アクセスを目的とした、完全にオペレーター制御の適応型Linuxフレームワークを表しています」とCRILは述べた。この発見は、特にエンタープライズおよび重要インフラ環境におけるLinuxシステムへの進化する脅威を強調する。
