RARファイル名に潜むペイロード:アンチウイルス回避するLinuxマルウェアの感染チェーンをTrellixが解説 | Codebook|Security News
セキュリティニュース
サイバーインテリジェンス
特集
情報セキュリティ
Codebook|Security News > Articles > Threat Report > デイリーサイバーアラート > RARファイル名に潜むペイロード:アンチウイルス回避するLinuxマルウェアの感染チェーンをTrellixが解説

デイリーサイバーアラート

Silobreaker-CyberAlert

RARファイル名に潜むペイロード:アンチウイルス回避するLinuxマルウェアの感染チェーンをTrellixが解説

佐々山 Tacos

佐々山 Tacos

2025.08.25

RARファイル名に潜むペイロード:アンチウイルス回避するLinuxマルウェアの感染チェーンをTrellixが解説

The Hacker News – Aug 22, 2025

ファイルのコンテンツやマクロではなく、ファイル名自体に直接エンコードされたペイロードによってマルウェア感染チェーンを開始させる新たな攻撃手法について、Trellixの研究者が報告。Linuxシステムを狙うこの攻撃チェーンでは、最終的にVShellというオープンソースのバックドアが配布されるという。

Trellixによれば、この攻撃は悪意あるRARアーカイブファイルの添付されたスパムメールによってスタート。攻撃者は、シェルコマンドインジェクションとBase64エンコードされたBashペイロードを巧みに利用し、シンプルなファイルリスティング操作を「自動的なマルウェア実行のトリガー」へと変えてしまうという。感染チェーンは、以下の6ステップから構成される。

 

  • ①化粧品に関するアンケート調査への参加を呼びかけるメールに見せかけたフィッシングメールにより、.rarアーカイブをターゲットユーザーへ配布。このアーカイブには、悪意を持って細工されたファイル名(ziliao2.pdf`{echo,<Base64-encoded command>}|{base64,-d}|bash`)を持つファイルが含まれている。このファイル名は、シェルによって解釈された際にコマンドを実行するよう設計された、Bashと互換性のあるコードを含む。

 

  • ②同悪性ファイル名は、シェルスクリプトまたはコマンドによって処理されるまで休眠状態を保つ。アーカイブを抽出するだけでは実行は始まらない。スクリプトまたはコマンド(for f in *、echo $f、eval、printf、またはロギングユーティリティなど)がファイル名を展開するか、評価した際にのみ実行が開始する。

 

  • ③(ステージ1)Bashスクリプトの操作(for f in *など)を通じた実行がトリガーされ、埋め込まれていたBase64ダウンローダーの自動実行に繋がる。

 

  • ④(ステージ2)スクリプトによりシステムアーキテクチャの検出が行われ、合致するELFローダーバイナリがダウンロードされる。対応するアーキテクチャは複数あり、x86、x64、ARM、ARM64が挙げられている。

 

  • ⑤(ステージ3)ELFバイナリがハードコードされたC2に接続し、XOR暗号化されたペイロードを取得。このペイロードをXOR(鍵:0x99)を使ってインメモリで復号すると、フェイクのカーネルスレッド([kworker/0:2]など)としてこれを実行する。

 

  • ⑥最終的なペイロードであるVShellにより、完全なリモートアクセスバックドア性能が提供される。

 

Trellixによれば上記の手法は、シェルスクリプトに広く見受けられるシンプルながらも危険なパターン、つまり適切なサニタイゼーションが行われることなくファイル名が評価されるというパターンを利用したもの。このパターンにより、evalやechoといった単純なコマンドに任意のコードを実行させられるようになっているとされる。なお、このファイル名は手動で作成することが不可能なものであり、Pythonなど別の言語を使って作成されたか、シェルにおける入力値の検証をバイパスできる外部ツールやスクリプト(ダイレクトシステムコールやコンパイルされたコードなど)を使ってドロップされた可能性が高いという。

Trellixは、この手法が多数の従来型の防御措置を回避できる点について警鐘を鳴らしている。例えばアンチウイルスエンジンは通常ファイル名のスキャンを行わない上、静的分析ツールはエンコードされたコマンドチェーンを見逃してしまう恐れがある。また、ファイル名の実行が発生しない限り、振る舞い検知でこれを検知することは難しい可能性があるとされる。加えて、マルウェアの動きがすべてインメモリで行われ、ディスクベースの検出が回避可能である点もこの攻撃を危険なものにしている要因の1つだという。

Trellixのレポートではこの感染チェーンのさらに詳しい解説が示されているほか、VShellがGoベースのリモートアクセスツールであり、近年UNC5174を含む中国のハッキンググループに広く使用されるようになっている旨などが伝えられている。

【無料配布中!】地政学情勢×サイバー動向の解説レポート

レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』

以下のバナーより、国際紛争や政治動向といった地政学的情勢がサイバー空間に与える影響について解説したSilobreaker社のレポート『デジタル時代における世界の紛争』の日本語訳バージョンを無料でダウンロードいただけます。

<レポートの主なトピック>

本レポートでは、ロシア・ウクライナ戦争やイスラエル・ハマス戦争などの紛争や各国での選挙といった地政学的イベントについて振り返りつつ、それに伴うサイバー攻撃やハクティビズム、偽情報キャンペーンなどのサイバー空間での動きを解説します。また、中国・ロシア・北朝鮮・イランの各国について、関連するハクティビストグループやAPTグループの攻撃事例・特徴などを紹介しながら、サイバーインテリジェンスにおける領域横断的なアプローチの必要性について考えていきます。

目次
  • 序論
  • ハクティビズム
    • ハクティビズムの変遷
    • 戦争におけるハクティビズム
    • 「選挙イヤー」におけるハクティビズム
    • 絡み合う動機
    • 国家の支援を受けたハッカー集団
  • 偽情報
    • 国家間対立
    • 偽情報とロシア・ウクライナ戦争
    • 偽情報とイスラエル・ハマス戦争
    • 偽情報と選挙が世界にあふれた2024年
  • 国家型APTの活動
    • 中国
    • ロシア
    • 北朝鮮
    • イラン
  • マルチチャネルインテリジェンスの運用化における課題と関連リスク

Special Feature特集記事

セミナー情報一覧へ ANALYST CHOICEの記事一覧へ

Cyber Intelligenceサイバーインテリジェンス

このカテゴリーの記事一覧へ

Security情報セキュリティ

このカテゴリーの記事一覧へ
このカテゴリーの記事一覧へ