Специалисты по кибербезопасности выявили новое вредоносное решение под названием ShadowHS, ориентированное на скрытые атаки на Linux‑системы. Речь идёт не о привычном трояне в виде исполняемого файла, а о многофункциональном постэксплуатационном фреймворке, который полностью функционирует в оперативной памяти и практически не оставляет цифровых следов.

Специалисты по кибербезопасности выявили новое вредоносное решение под названием ShadowHS, ориентированное на скрытые атаки на Linux‑системы. Речь идёт не о привычном трояне в виде исполняемого файла, а о многофункциональном постэксплуатационном фреймворке, который полностью функционирует в оперативной памяти и практически не оставляет цифровых следов.


Как отмечают аналитики Cyble Research & Intelligence Labs, ShadowHS представляет собой глубоко переработанную версию утилиты hackshell, дополненную расширенным набором наступательных возможностей. Вредонос не записывает данные на диск, а запускается через анонимные файловые дескрипторы, маскируясь под легитимные процессы, например python3. Такой подход позволяет обходить контроль целостности системы и традиционные защитные механизмы.

Процесс заражения начинается с многоуровневого шелл‑загрузчика, внутри которого полезная нагрузка зашифрована алгоритмом AES‑256‑CBC. Перед активацией троян проверяет наличие необходимых компонентов, анализирует окружение и только затем восстанавливает основной код через сложную цепочку декодирования. Исполнение происходит напрямую из памяти с использованием системных путей вида /proc/*/fd, что исключает появление файлов в системе.

Отличительной чертой ShadowHS является его «тихий» режим работы. После внедрения он не предпринимает агрессивных действий, а сначала проводит детальную разведку: анализирует конфигурацию системы, выявляет установленные средства защиты и передаёт собранную информацию оператору атаки. Дальнейшие шаги принимаются вручную, что сближает поведение трояна с действиями реального злоумышленника.

В ходе разведки вредонос проверяет наличие популярных корпоративных решений безопасности, включая продукты CrowdStrike, Sophos, Microsoft, Elastic, Wazuh, Tanium и агентов облачных платформ. Параллельно он устраняет «конкурентов», завершая процессы других вредоносных семейств и обнаруживая следы предыдущих компрометаций.

Необычно реализован и механизм передачи данных. Вместо стандартных сетевых протоколов ShadowHS применяет пользовательские туннели GSocket, которые маскируют обмен под локальные соединения и позволяют обходить файрволы и сетевой мониторинг без формирования явных сетевых сессий.

При необходимости троян способен активировать дополнительные модули, включая инструменты для криптомайнинга, средства бокового перемещения по сети и компоненты для кражи учётных данных и конфигураций различных сервисов и облачных платформ. Большинство этих возможностей по умолчанию находятся в неактивном состоянии и используются выборочно.

Эксперты подчёркивают, что из‑за полностью бесфайловой архитектуры классические сигнатурные антивирусы оказываются малоэффективными. Для обнаружения подобных угроз требуется поведенческий анализ, контроль исполнения кода в памяти и мониторинг на уровне ядра, а также внимание к аномалиям в структуре процессов и нетипичному использованию системных механизмов.