عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد التهديد المستمر المتقدم (APT) برنامج Showboat الخبيث

برنامج Showboat الخبيث

بواسطة Mezo في التهديد المستمر المتقدم (APT), الأبواب الخلفية, أدوات الإدارة عن بعد
ترجمة الى:

كشف باحثو الأمن السيبراني عن إطار عمل برمجيات خبيثة لنظام لينكس لم يتم توثيقه من قبل، يُعرف باسم Showboat، والذي تم نشره بنشاط ضد مزود اتصالات في الشرق الأوسط منذ منتصف عام 2022 على الأقل. تعمل البرمجيات الخبيثة كمجموعة أدوات معيارية لما بعد الاختراق قادرة على تمكين الوصول عن بعد إلى shell، ونقل الملفات، والعمل كوكيل SOCKS5 داخل البيئات المخترقة.

يعتقد محللو الأمن أن البرمجية الخبيثة مرتبطة بواحدة أو أكثر من مجموعات التهديدات المرتبطة بالصين. وقد حدد المحققون صلات بين بنية التحكم والسيطرة الخاصة بالبرمجية الخبيثة وعناوين بروتوكول الإنترنت التي تم تتبعها إلى مدينة تشنغدو، عاصمة مقاطعة سيتشوان الصينية، مما يعزز الشكوك حول تورط الدولة الصينية في هذه العملية.

صلات بعمليات تهديد قائمة مرتبطة بالصين

إحدى المجموعات المرتبطة بهذا النشاط هي كاليپسو، المعروفة أيضاً باسم برونز ميدلي وريد لاماسو. وقد نشطت هذه المجموعة منذ سبتمبر/أيلول 2016 على الأقل، واستهدفت تاريخياً جهات حكومية ومؤسسية في البرازيل والهند وكازاخستان وروسيا وتايلاند وتركيا. ظهرت التقارير العلنية عن هذه المجموعة لأول مرة عام 2019 من خلال بحث نشرته شركة بوزيتيف تكنولوجيز.

اعتمدت مجموعة كاليپسو سابقًا على عائلات برمجيات خبيثة مثل PlugX، بالإضافة إلى أبواب خلفية تشمل WhiteBird وBYEBY. تنتمي برمجية BYEBY الخبيثة إلى مجموعة عملياتية أكبر تُعرف باسم Mikroceen، والتي رُبطت أيضًا بمجموعة تهديدات SixLittleMonkeys. ولاحظ الباحثون كذلك أوجه تشابه تكتيكية بين SixLittleMonkeys وعملية أخرى موالية للصين تُعرف باسم Webworm.

يُبرز ظهور برنامج Showboat إلى جانب أطر عمل مشتركة مثل PlugX وShadowPad وNosyDoor اتجاهًا أوسع نطاقًا بين الجهات الفاعلة في مجال التهديدات المرتبطة بالصين: إعادة استخدام وتوزيع أدوات الهجوم السيبراني عبر مجموعات تجسس متعددة. ويشير هذا النمط بقوة إلى وجود "جهة مركزية للإمداد الرقمي" مسؤولة عن تزويد الجهات المدعومة من الدولة بالبرمجيات الخبيثة والموارد التشغيلية.

إمكانيات متقدمة للأبواب الخلفية في نظام لينكس تثير مخاوف جدية

بدأ التحقيق بعد أن قام الباحثون بتحليل ملف ELF ثنائي تم تحميله في مايو 2025، والذي صُنِّف مبدئيًا على أنه باب خلفي متطور للغاية لنظام لينكس، يتمتع بوظائف شبيهة ببرامج التجسس الخفية. ويُعرف هذا البرنامج الخبيث أيضًا باسم EvaRAT.

على الرغم من أن آلية العدوى الدقيقة لا تزال مجهولة، إلا أن اختراقات كاليپسو السابقة تضمنت نشر برامج خبيثة من نوع ASPX بعد استغلال الثغرات الأمنية أو اختراق حسابات الوصول عن بُعد الافتراضية. وكانت المجموعة أيضًا من أوائل الجهات الصينية التي استخدمت ثغرة CVE-2021-26855، وهي ثغرة في خادم مايكروسوفت إكستشينج شكلت المرحلة الأولى من سلسلة استغلال ProxyLogon سيئة السمعة.

صُمم برنامج Showboat الخبيث للتواصل مع خوادم التحكم والسيطرة البعيدة، وجمع معلومات تفصيلية عن النظام، ونقل البيانات المُجمّعة بصيغة مُشفّرة ومُشفّرة بنظام Base64 ومُخبأة داخل حقول PNG. كما يدعم البرنامج مجموعة من ميزات التخفي والتشغيل، بما في ذلك:

  • وظائف تحميل وتنزيل الملفات
  • أساليب إخفاء العمليات
  • إدارة خادم C2
  • مسح الشبكة الداخلية
  • تقنية SOCKS5 للتنقل الجانبي عبر النفق الوكيل

ولتجنب الكشف على الأجهزة المخترقة، يسترجع برنامج Showboat جزءًا من التعليمات البرمجية من موقع Pastebin، حيث تتبع الباحثون المحتوى المستضاف إلى 11 يناير 2022. ويعتقد المحللون أن الهدف الرئيسي للبرمجيات الخبيثة هو تأمين الوصول المستمر داخل الشبكات المستهدفة، وخاصة الأنظمة المعزولة عن التعرض المباشر للإنترنت والتي لا يمكن الوصول إليها إلا من خلال اتصالات الشبكة المحلية الداخلية.

توسيع البنية التحتية يكشف عن ضحايا دوليين

كشف فحصٌ معمقٌ للبنية التحتية للتهديد عن وجود عدة منظمات مستهدفة في مناطق جغرافية مختلفة. وحدد الباحثون مزود خدمة إنترنت في أفغانستان، ومنظمة أخرى مجهولة الهوية في أذربيجان. كما أشارت مجموعة ثانوية من خوادم التحكم والسيطرة التي تتشارك شهادات X.509 متشابهة إلى احتمالية وقوع اختراقات أمنية طالت جهات في الولايات المتحدة وأوكرانيا.

يُظهر استمرار نشر برامج خبيثة مُستديمة أنه على الرغم من تزايد استخدام العديد من الجهات المُهدِّدة لتقنيات التخفي المُتطورة، فإن المجموعات المُتقدمة لا تزال تعتمد بشكل كبير على أبواب خلفية مُخصصة للوصول طويل الأمد والتحكم التشغيلي. ويُحذر خبراء الأمن من أن اكتشاف برامج خبيثة مثل Showboat يجب أن يُعتبر مؤشرًا حاسمًا على احتمال وجود اختراق أوسع نطاقًا داخل الشبكات المُتأثرة.

توسع حملة JFMBackdoor لتشمل أنظمة أخرى غير أنظمة لينكس

بالإضافة إلى برنامج Showboat، لاحظ الباحثون قيام برنامج Calypso بنشر برمجية خبيثة متكاملة لنظام ويندوز تُعرف باسم JFMBackdoor خلال هجمات استهدفت قطاع الاتصالات في أفغانستان. يتم إيصال هذه البرمجية الخبيثة عبر تقنية التحميل الجانبي لمكتبات الارتباط الديناميكي (DLL)، وهي تقنية تستغل التطبيقات الشرعية لتحميل مكتبات الارتباط الديناميكي الخبيثة.

تبدأ سلسلة العدوى ببرنامج نصي يُشغّل ملفًا تنفيذيًا موثوقًا، والذي بدوره يُحمّل حمولة مكتبة الارتباط الديناميكي (DLL) الخبيثة. بمجرد تفعيلها، تُتيح JFMBackdoor للمهاجمين تحكمًا تشغيليًا واسع النطاق في الأنظمة المخترقة. تشمل وظائفها ما يلي:

  • تنفيذ الأوامر عن بعد
  • عمليات إدارة الملفات
  • إمكانيات وكيل الشبكة
  • لقطة شاشة
  • آليات الإزالة الذاتية

    • يتماشى التركيز على أفغانستان وبنيتها التحتية للاتصالات بشكل وثيق مع الأهداف الاستراتيجية الأوسع نطاقاً المرتبطة سابقاً بعمليات ريد لاماسو، مما يعزز التقييمات التي تشير إلى أن الحملة تشكل جزءاً من جهد تجسس إلكتروني أكبر مرتبط بنشاط التهديد الصيني.

    الشائع

    تحديث أمني للتعرف على الأجهزة والمواقع الموثوقة -...

    التصيد الاحتيالي, رسائل إلكترونية مزعجة
    يجب التعامل بحذر مع رسائل البريد الإلكتروني غير المتوقعة التي تتطلب اتخاذ إجراء عاجل، خاصةً إذا كانت تتضمن تحذيرات أمنية متعلقة بالحساب أو طلبات للتحقق من المعلومات الشخصية. غالبًا ما يُخفي مجرمو الإنترنت رسائل التصيد الاحتيالي على أنها إشعارات رسمية للتلاعب بالمستلمين وحملهم على كشف بيانات حساسة. رسائل البريد الإلكتروني التي تحمل عنوان "تحديث أمني للتعرف على الأجهزة والمواقع الموثوقة" هي جزء...

    الأكثر مشاهدة

    جار التحميل...