Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Προηγμένη επίμονη απειλή (APT) Κακόβουλο λογισμικό Showboat

Κακόβουλο λογισμικό Showboat

Μέχρι το Mezo το Προηγμένη επίμονη απειλή (APT), Backdoors, Εργαλεία απομακρυσμένης διαχείρισης
Μετάφραση σε:

Ερευνητές κυβερνοασφάλειας αποκάλυψαν ένα προηγουμένως μη καταγεγραμμένο πλαίσιο κακόβουλου λογισμικού Linux, γνωστό ως Showboat, το οποίο έχει αναπτυχθεί ενεργά εναντίον ενός παρόχου τηλεπικοινωνιών στη Μέση Ανατολή τουλάχιστον από τα μέσα του 2022. Το κακόβουλο λογισμικό λειτουργεί ως ένα αρθρωτό κιτ εργαλείων μετά την εκμετάλλευση, ικανό να επιτρέπει την απομακρυσμένη πρόσβαση στο κέλυφος, τη μεταφορά αρχείων και τη λειτουργία ως διακομιστής μεσολάβησης SOCKS5 σε παραβιασμένα περιβάλλοντα.

Οι αναλυτές ασφαλείας πιστεύουν ότι το κακόβουλο λογισμικό συνδέεται με ένα ή περισσότερα clusters απειλών που σχετίζονται με την Κίνα. Οι ερευνητές εντόπισαν συνδέσεις μεταξύ της υποδομής Command-and-Control (C2) του κακόβουλου λογισμικού και των διευθύνσεων IP που εντοπίστηκαν στο Τσενγκντού, την πρωτεύουσα της επαρχίας Σιτσουάν της Κίνας, ενισχύοντας τις υποψίες για εμπλοκή υπό την αιγίδα της Κίνας.

Συνδέσεις με καθιερωμένες επιχειρήσεις απειλών που συνδέονται με την Κίνα

Μία από τις ομάδες που σχετίζονται με τη δραστηριότητα είναι η Calypso, γνωστή και ως Bronze Medley και Red Lamassu. Ο απειλητικός φορέας δραστηριοποιείται τουλάχιστον από τον Σεπτέμβριο του 2016 και ιστορικά έχει στοχεύσει κυβερνητικούς και θεσμικούς φορείς σε όλη τη Βραζιλία, την Ινδία, το Καζακστάν, τη Ρωσία, την Ταϊλάνδη και την Τουρκία. Δημόσιες αναφορές για την ομάδα εμφανίστηκαν για πρώτη φορά το 2019 μέσω έρευνας που δημοσιεύτηκε από την Positive Technologies.

Το Calypso βασιζόταν στο παρελθόν σε οικογένειες κακόβουλου λογισμικού όπως το PlugX, μαζί με backdoors όπως τα WhiteBird και BYEBY. Το κακόβουλο λογισμικό BYEBY ανήκει σε ένα μεγαλύτερο επιχειρησιακό σύμπλεγμα που αναφέρεται ως Mikroceen, το οποίο έχει επίσης συνδεθεί με το σύμπλεγμα απειλών SixLittleMonkeys. Οι ερευνητές σημείωσαν περαιτέρω τακτικές ομοιότητες μεταξύ του SixLittleMonkeys και μιας άλλης επιχείρησης που συνδέεται με την Κίνα, γνωστής ως Webworm.

Η εμφάνιση του Showboat παράλληλα με κοινά frameworks όπως τα PlugX, ShadowPad και NosyDoor υπογραμμίζει μια ευρύτερη τάση μεταξύ των φορέων απειλής που συνδέονται με την Κίνα: την επαναχρησιμοποίηση και διανομή επιθετικών κυβερνοεργαλείων σε πολλαπλές ομάδες κατασκοπείας. Αυτό το μοτίβο υποδηλώνει έντονα την ύπαρξη ενός κεντρικού «ψηφιακού ελεγκτή» υπεύθυνου για την παροχή κακόβουλου λογισμικού και επιχειρησιακών πόρων σε κρατικά υποστηριζόμενους φορείς εκμετάλλευσης.

Οι προηγμένες δυνατότητες του backdoor του Linux προκαλούν σοβαρές ανησυχίες

Η έρευνα ξεκίνησε αφού οι ερευνητές ανέλυσαν ένα δυαδικό αρχείο ELF που μεταφορτώθηκε τον Μάιο του 2025, το οποίο αρχικά κατηγοριοποιήθηκε ως ένα εξαιρετικά προηγμένο backdoor Linux με λειτουργικότητα τύπου rootkit. Το δείγμα κακόβουλου λογισμικού παρακολουθείται επίσης με το όνομα EvaRAT.

Παρόλο που ο ακριβής φορέας μόλυνσης παραμένει άγνωστος, προηγούμενες εισβολές στο Calypso αφορούσαν την ανάπτυξη κελυφών ιστού ASPX μετά την εκμετάλλευση ευπαθειών ή την παραβίαση προεπιλεγμένων λογαριασμών απομακρυσμένης πρόσβασης. Η ομάδα ήταν επίσης μεταξύ των πρώτων Κινέζων απειλητικών παραγόντων που μετέτρεψαν σε όπλα το CVE-2021-26855, το ελάττωμα του Microsoft Exchange Server που αποτέλεσε το αρχικό στάδιο της διαβόητης αλυσίδας εκμετάλλευσης ProxyLogon.

Το Showboat έχει σχεδιαστεί για να δημιουργεί επικοινωνία με απομακρυσμένους διακομιστές C2, να συλλέγει λεπτομερείς πληροφορίες συστήματος και να μεταδίδει τα δεδομένα που συλλέγονται σε κρυπτογραφημένη και κωδικοποιημένη με Base64 μορφή, κρυμμένη μέσα σε πεδία PNG. Το κακόβουλο λογισμικό υποστηρίζει επίσης μια σειρά από μυστικές και λειτουργικές λειτουργίες, όπως:

  • Λειτουργίες μεταφόρτωσης και λήψης αρχείων
  • Τεχνικές απόκρυψης διεργασιών
  • Διαχείριση διακομιστή C2
  • Σάρωση εσωτερικού δικτύου
  • SOCKS5 proxy tunneling για πλευρική κίνηση

Για να αποφύγει τον εντοπισμό σε παραβιασμένους κεντρικούς υπολογιστές, το Showboat ανακτά ένα απόσπασμα κώδικα από το Pastebin, με τους ερευνητές να εντοπίζουν το φιλοξενούμενο περιεχόμενο από τις 11 Ιανουαρίου 2022. Οι αναλυτές πιστεύουν ότι ο κύριος στόχος του κακόβουλου λογισμικού είναι να εξασφαλίσει μόνιμη πρόσβαση σε στοχευμένα δίκτυα, ιδίως σε συστήματα που είναι απομονωμένα από την άμεση έκθεση στο διαδίκτυο και προσβάσιμα μόνο μέσω εσωτερικών συνδέσεων LAN.

Η επέκταση των υποδομών αποκαλύπτει τα διεθνή θύματα

Περαιτέρω εξέταση της υποδομής απειλών αποκάλυψε πολλαπλούς οργανισμούς-θύματα που εκτείνονται σε διάφορες περιοχές. Οι ερευνητές εντόπισαν έναν πάροχο υπηρεσιών διαδικτύου με έδρα το Αφγανιστάν και έναν επιπλέον μη αναγνωρισμένο οργανισμό που βρίσκεται στο Αζερμπαϊτζάν. Ένα δευτερεύον σύμπλεγμα διακομιστών C2 που μοιράζονται παρόμοια πιστοποιητικά X.509 υπέδειξε επίσης πιθανές παραβιάσεις που επηρεάζουν οντότητες στις Ηνωμένες Πολιτείες και την Ουκρανία.

Η συνεχιζόμενη ανάπτυξη επίμονων εμφυτευμάτων κακόβουλου λογισμικού καταδεικνύει ότι, παρά την αυξανόμενη χρήση πιο μυστικών τεχνικών «ζωής από τη γη» από πολλούς απειλητικούς παράγοντες, οι προηγμένες ομάδες εξακολουθούν να βασίζονται σε μεγάλο βαθμό σε προσαρμοσμένες κερκόπορτες για μακροπρόθεσμη πρόσβαση και λειτουργικό έλεγχο. Οι ειδικοί ασφαλείας προειδοποιούν ότι η ανακάλυψη κακόβουλου λογισμικού όπως το Showboat θα πρέπει να αντιμετωπίζεται ως κρίσιμος δείκτης πιθανώς ευρύτερης παραβίασης εντός των επηρεαζόμενων δικτύων.

Το JFMBackdoor επεκτείνει την καμπάνια πέρα από τα συστήματα Linux

Εκτός από το Showboat, οι ερευνητές παρατήρησαν ότι το Calypso ανέπτυσσε ένα πλήρως εξοπλισμένο εμφύτευμα κακόβουλου λογισμικού για Windows, γνωστό ως JFMBackdoor, κατά τη διάρκεια επιθέσεων που στόχευαν τον τηλεπικοινωνιακό τομέα του Αφγανιστάν. Το κακόβουλο λογισμικό παραδίδεται μέσω πλευρικής φόρτωσης DLL, μιας τεχνικής που καταχράται νόμιμες εφαρμογές για να φορτώσει κακόβουλες βιβλιοθήκες δυναμικών συνδέσμων.

Η αλυσίδα μόλυνσης ξεκινά με ένα δέσμη ενεργειών που εκκινεί ένα αξιόπιστο εκτελέσιμο αρχείο, το οποίο στη συνέχεια φορτώνει το κακόβουλο φορτίο DLL. Μόλις ενεργοποιηθεί, το JFMBackdoor παρέχει στους επιτιθέμενους εκτεταμένο λειτουργικό έλεγχο σε παραβιασμένα συστήματα. Η λειτουργικότητά του περιλαμβάνει:

  • Απομακρυσμένη εκτέλεση κελύφους
  • Λειτουργίες διαχείρισης αρχείων
  • Δυνατότητες διακομιστή μεσολάβησης δικτύου
  • Λήψη στιγμιότυπου οθόνης
  • Μηχανισμοί αυτοαπομάκρυνσης

    • Η εστίαση στο Αφγανιστάν και την τηλεπικοινωνιακή του υποδομή ευθυγραμμίζεται στενά με τους ευρύτερους στρατηγικούς στόχους που συνδέονταν προηγουμένως με τις επιχειρήσεις Red Lamassu, ενισχύοντας τις εκτιμήσεις ότι η εκστρατεία αποτελεί μέρος μιας ευρύτερης προσπάθειας κυβερνοκατασκοπείας που συνδέεται με την κινεζική απειλητική δραστηριότητα.

    Τάσεις

    Ενημέρωση ασφαλείας για την αναγνώριση αξιόπιστων...

    Phishing, Ανεπιθύμητη αλληλογραφία
    Τα μη αναμενόμενα email που απαιτούν επείγουσα δράση θα πρέπει πάντα να αντιμετωπίζονται με προσοχή, ειδικά όταν περιλαμβάνουν προειδοποιήσεις ασφαλείας λογαριασμού ή αιτήματα για επαλήθευση προσωπικών πληροφοριών. Οι κυβερνοεγκληματίες συχνά μεταμφιέζουν τα μηνύματα ηλεκτρονικού "ψαρέματος" (phishing) ως επίσημες ειδοποιήσεις για να χειραγωγήσουν τους παραλήπτες ώστε να αποκαλύψουν ευαίσθητα...

    Aztcsearch.com

    Απατεώνες Ιστότοποι, Browser Hijackers, Πιθανώς ανεπιθύμητα προγράμματα
    Η προστασία των συσκευών από ενοχλητικά και αναξιόπιστα PUP (Δυνητικά Ανεπιθύμητα Προγράμματα) έχει αποκτήσει ολοένα και μεγαλύτερη σημασία καθώς οι κυβερνοαπειλές συνεχίζουν να εξελίσσονται. Οι...

    Περισσότερες εμφανίσεις

    Φόρτωση...