Зловреден софтуер Showboat
Изследователи по киберсигурност откриха досега недокументирана рамка за зловреден софтуер за Linux, известна като Showboat, която е активно внедрена срещу телекомуникационен доставчик в Близкия изток поне от средата на 2022 г. Зловредният софтуер работи като модулен инструментариум след експлоатация, способен да позволи отдалечен достъп до обвивката, прехвърляне на файлове и функциониране като SOCKS5 прокси в компрометирана среда.
Анализаторите по сигурността смятат, че зловредният софтуер е свързан с един или повече клъстери от заплахи, свързани с Китай. Разследващите са идентифицирали връзки между инфраструктурата за командване и контрол (C2) на зловредния софтуер и IP адресите, проследени до Ченгду, столицата на китайската провинция Съчуан, което засилва подозренията за участие на китайската държава.
Съдържание
Връзки с установени операции за борба със заплахите, свързани с Китай
Една от групите, свързани с дейността, е Calypso, известна още като Bronze Medley и Red Lamassu. Злонамерената група е активна поне от септември 2016 г. и исторически е атакувала правителствени и институционални организации в Бразилия, Индия, Казахстан, Русия, Тайланд и Турция. Публични доклади за групата се появиха за първи път през 2019 г. чрез проучване, публикувано от Positive Technologies.
Calypso преди това е разчитала на семейства злонамерен софтуер като PlugX, заедно със задни врати, включително WhiteBird и BYEBY. Злонамереният софтуер BYEBY принадлежи към по-голям оперативен клъстер, наречен Mikroceen, който също е свързан с клъстера от заплахи SixLittleMonkeys. Изследователите допълнително отбелязват тактически прилики между SixLittleMonkeys и друга свързана с Китай операция, известна като Webworm.
Появата на Showboat, наред със споделени платформи като PlugX, ShadowPad и NosyDoor, подчертава по-широка тенденция сред участниците в китайско-нексусните атаки: повторното използване и разпространението на офанзивни кибер инструменти между множество шпионски групи. Този модел силно подсказва за съществуването на централизиран „цифров квартирмейстер“, отговорен за предоставянето на зловреден софтуер и оперативни ресурси на подкрепяните от държавата оператори.
Разширените възможности на задните врати на Linux пораждат сериозни опасения
Разследването започна, след като изследователи анализираха ELF двоичен файл, качен през май 2025 г., който първоначално беше категоризиран като високотехнологична Linux задна врата с функционалност, подобна на руткит. Пробата от зловреден софтуер се проследява и под името EvaRAT.
Въпреки че точният вектор на инфекцията остава неизвестен, предишни прониквания на Calypso са включвали внедряването на ASPX уеб шелове след експлоатиране на уязвимости или компрометиране на акаунти за отдалечен достъп по подразбиране. Групата е била и сред първите китайски хакери, които са използвали като оръжие CVE-2021-26855, недостатъкът на Microsoft Exchange Server, който е формирал началния етап от прословутата верига от експлойти ProxyLogon.
Showboat е проектиран да установява комуникация с отдалечени C2 сървъри, да събира подробна системна информация и да предава събраните данни в криптирана и Base64-кодирана форма, скрити в PNG полета. Зловредният софтуер поддържа и редица стелт и оперативни функции, включително:
- Функция за качване и изтегляне на файлове
- Техники за скриване на процеси
- Управление на C2 сървъри
- Вътрешно мрежово сканиране
- SOCKS5 прокси тунелиране за странично движение
За да избегне откриването на компрометирани хостове, Showboat извлича фрагмент от код от Pastebin, като изследователите проследяват хостваното съдържание до 11 януари 2022 г. Анализаторите смятат, че основната цел на зловредния софтуер е да осигури постоянен достъп в целевите мрежи, по-специално до системи, изолирани от директно излагане на интернет и достъпни само чрез вътрешни LAN връзки.
Разширяването на инфраструктурата разкрива международни жертви
По-нататъшно проучване на инфраструктурата на заплахите разкри множество организации-жертви, обхващащи няколко региона. Изследователите идентифицираха доставчик на интернет услуги, базиран в Афганистан, и допълнителна неидентифицирана организация, разположена в Азербайджан. Вторичен клъстер от C2 сървъри, споделящи подобни X.509 сертификати, също посочи възможни компромиси, засягащи организации в Съединените щати и Украйна.
Продължаващото внедряване на устойчиви импланти на зловреден софтуер показва, че въпреки нарастващото използване на по-скрити техники за „живеене от земята“ от много злонамерени лица, напредналите групи все още разчитат в голяма степен на персонализирани задни врати за дългосрочен достъп и оперативен контрол. Експертите по сигурността предупреждават, че откриването на зловреден софтуер като Showboat трябва да се третира като критичен индикатор за потенциално по-широко компрометиране в засегнатите мрежи.
JFMBackdoor разширява кампанията си отвъд Linux системите
В допълнение към Showboat, изследователите са наблюдавали как Calypso е внедрила пълнофункционален имплант за зловреден софтуер за Windows, известен като JFMBackdoor, по време на атаки, насочени към телекомуникационния сектор на Афганистан. Зловредният софтуер се доставя чрез странично зареждане на DLL, техника, която злоупотребява с легитимни приложения за зареждане на злонамерени библиотеки с динамични връзки.
Веригата на заразяване започва с пакетен скрипт, който стартира надежден изпълним файл, който впоследствие зарежда злонамерения DLL файл. След като бъде активен, JFMBackdoor предоставя на атакуващите обширен оперативен контрол върху компрометираните системи. Функционалността му включва:
- Изпълнение на отдалечена обвивка
- Операции за управление на файлове
- Възможности на мрежовия прокси сървър
- Заснемане на екранна снимка
- Механизми за самоотстраняване
Фокусът върху Афганистан и неговата телекомуникационна инфраструктура е в тясно съответствие с по-широките стратегически цели, свързани преди това с операциите „Червеният Ламасу“, което засилва оценките, че кампанията е част от по-голямо усилие за кибершпионаж, свързано с китайската заплашителна дейност.
