Malware Showboat
Výzkumníci v oblasti kybernetické bezpečnosti odhalili dříve nezdokumentovaný malware pro Linux známý jako Showboat, který je aktivně nasazen proti telekomunikačnímu poskytovateli na Blízkém východě přinejmenším od poloviny roku 2022. Malware funguje jako modulární sada nástrojů po zneužití, která umožňuje vzdálený přístup k shellu, přenos souborů a funguje jako proxy SOCKS5 v kompromitovaných prostředích.
Bezpečnostní analytici se domnívají, že malware je propojen s jedním nebo více shluky hrozeb spojenými s Čínou. Vyšetřovatelé identifikovali spojení mezi infrastrukturou velení a řízení (C2) malwaru a IP adresami vysledovanými do Čcheng-tu, hlavního města čínské provincie S'-čchuan, což posiluje podezření z zapojení čínského státu.
Obsah
Propojení se zavedenými čínskými operacemi zaměřenými na vyhledávání hrozeb
Jednou ze skupin spojených s touto aktivitou je Calypso, známá také jako Bronze Medley a Red Lamassu. Tento útočník je aktivní nejméně od září 2016 a historicky se zaměřoval na vládní a institucionální subjekty v Brazílii, Indii, Kazachstánu, Rusku, Thajsku a Turecku. Veřejné zprávy o skupině se poprvé objevily v roce 2019 prostřednictvím výzkumu publikovaného společností Positive Technologies.
Společnost Calypso se dříve spoléhala na rodiny malwaru, jako je PlugX, a také na zadní vrátka, včetně WhiteBird a BYEBY. Malware BYEBY patří do většího operačního klastru s názvem Mikroceen, který byl také spojován s klastrem hrozeb SixLittleMonkeys. Výzkumníci dále zaznamenali taktické podobnosti mezi SixLittleMonkeys a další operací spojenou s Čínou, známou jako Webworm.
Výskyt platformy Showboat spolu se sdílenými frameworky, jako jsou PlugX, ShadowPad a NosyDoor, zdůrazňuje širší trend mezi aktéry hrozeb v čínském prostředí: opětovné používání a distribuci útočných kybernetických nástrojů napříč různými špionážními skupinami. Tento vzorec silně naznačuje existenci centralizovaného „digitálního intendanta“ odpovědného za dodávky malwaru a operačních zdrojů státem podporovaným operátorům.
Pokročilé možnosti backdoorů v Linuxu vyvolávají vážné obavy
Vyšetřování začalo poté, co vědci analyzovali binární soubor ELF nahraný v květnu 2025, který byl původně klasifikován jako vysoce pokročilý backdoor pro Linux s funkcemi podobnými rootkitu. Vzorek malwaru je také sledován pod názvem EvaRAT.
Přestože přesný vektor infekce zůstává neznámý, předchozí útoky Calypso zahrnovaly nasazení webových shelů ASPX po zneužití zranitelností nebo kompromitování výchozích účtů pro vzdálený přístup. Skupina byla také mezi prvními čínskými aktéry hrozby, kteří jako zbraň využili chybu CVE-2021-26855 v serveru Microsoft Exchange, která tvořila počáteční fázi nechvalně známého řetězce exploitů ProxyLogon.
Malware Showboat je navržen tak, aby navazoval komunikaci se vzdálenými servery C2, shromažďoval podrobné systémové informace a přenášel získaná data v šifrované a Base64 kódované podobě skrytě v polích PNG. Malware také podporuje řadu skrytých a operačních funkcí, včetně:
- Funkce nahrávání a stahování souborů
- Techniky skrývání procesů
- Správa serverů C2
- Skenování interní sítě
- SOCKS5 proxy tunelování pro laterální pohyb
Aby se Showboat vyhnul detekci na napadených hostitelích, načte úryvek kódu z Pastebinu a výzkumníci vystopují hostovaný obsah až k 11. lednu 2022. Analytici se domnívají, že primárním cílem malwaru je zajistit trvalý přístup uvnitř cílových sítí, zejména systémů izolovaných od přímého vystavení internetu a dostupných pouze prostřednictvím interních LAN připojení.
Rozšiřující se infrastruktura odhaluje mezinárodní oběti
Další zkoumání infrastruktury hrozeb odhalilo řadu organizací, které se staly obětí útoků, a to v několika regionech. Výzkumníci identifikovali poskytovatele internetových služeb se sídlem v Afghánistánu a další neidentifikovanou organizaci nacházející se v Ázerbájdžánu. Sekundární klastr serverů C2 sdílejících podobné certifikáty X.509 také poukázal na možné kompromitace postihující subjekty ve Spojených státech a na Ukrajině.
Pokračující nasazování perzistentních malwarových implantátů ukazuje, že navzdory rostoucímu využívání nenápadnějších technik „žijících ze země“ mnoha aktéry hrozeb se pokročilé skupiny stále silně spoléhají na speciální zadní vrátka pro dlouhodobý přístup a provozní kontrolu. Bezpečnostní experti varují, že objevení malwaru, jako je Showboat, by mělo být považováno za kritický ukazatel potenciálně širšího ohrožení v postižených sítích.
JFMBackdoor rozšiřuje kampaň za hranice linuxových systémů
Kromě útoku Showboat vědci pozorovali, že Calypso během útoků zaměřených na telekomunikační sektor v Afghánistánu nasadilo plně funkční malware pro Windows známý jako JFMBackdoor. Malware je šířen prostřednictvím DLL sideloading, což je technika, která zneužívá legitimní aplikace k načítání škodlivých dynamických knihoven.
Řetězec infekce začíná dávkovým skriptem, který spustí důvěryhodný spustitelný soubor, jenž následně načte falešnou knihovnu DLL. Jakmile je JFMBackdoor aktivní, poskytuje útočníkům rozsáhlou operační kontrolu nad napadenými systémy. Jeho funkce zahrnují:
- Vzdálené spuštění shellu
- Operace správy souborů
- Možnosti síťového proxy serveru
- Pořízení snímku obrazovky
- Mechanismy samoodstranění
Zaměření na Afghánistán a jeho telekomunikační infrastrukturu úzce souvisí s širšími strategickými cíli dříve spojovanými s operacemi Red Lamassu, což posiluje hodnocení, že kampaň je součástí většího kyberšpionážního úsilí spojeného s čínskou hrozbou.
