Showboat Malware

محققان امنیت سایبری یک چارچوب بدافزار لینوکسی که قبلاً مستند نشده بود و با نام Showboat شناخته می‌شود را کشف کرده‌اند که حداقل از اواسط سال ۲۰۲۲ به طور فعال علیه یک ارائه‌دهنده خدمات مخابراتی در خاورمیانه مستقر شده است. این بدافزار به عنوان یک ابزار ماژولار پس از بهره‌برداری عمل می‌کند که قادر به فعال کردن دسترسی از راه دور به shell، انتقال فایل‌ها و عملکرد به عنوان یک پروکسی SOCKS5 در محیط‌های آسیب‌پذیر است.

تحلیلگران امنیتی معتقدند که این بدافزار به یک یا چند خوشه تهدید مرتبط با چین مرتبط است. محققان ارتباطاتی بین زیرساخت فرماندهی و کنترل (C2) این بدافزار و آدرس‌های IP ردیابی شده به چنگدو، پایتخت استان سیچوان چین، شناسایی کردند که سوءظن‌ها در مورد دخالت تحت حمایت دولت چین را تقویت می‌کند.

ارتباط با عملیات تهدیدآمیز مرتبط با چین

یکی از گروه‌های مرتبط با این فعالیت، Calypso است که با نام‌های Bronze Medley و Red Lamassu نیز شناخته می‌شود. این عامل تهدید حداقل از سپتامبر ۲۰۱۶ فعال بوده و از نظر تاریخی نهادهای دولتی و نهادی را در سراسر برزیل، هند، قزاقستان، روسیه، تایلند و ترکیه هدف قرار داده است. گزارش‌های عمومی در مورد این گروه اولین بار در سال ۲۰۱۹ از طریق تحقیقات منتشر شده توسط Positive Technologies منتشر شد.

کالیپسو پیش از این به خانواده‌های بدافزاری مانند PlugX و همچنین درب‌های پشتی از جمله WhiteBird و BYEBY متکی بوده است. بدافزار BYEBY متعلق به یک خوشه عملیاتی بزرگتر به نام Mikroceen است که به خوشه تهدید SixLittleMonkeys نیز مرتبط دانسته شده است. محققان همچنین شباهت‌های تاکتیکی بین SixLittleMonkeys و یک عملیات دیگر مرتبط با چین به نام Webworm را مشاهده کردند.

ظهور Showboat در کنار چارچوب‌های مشترکی مانند PlugX، ShadowPad و NosyDoor، روند گسترده‌تری را در میان بازیگران تهدید مرتبط با چین برجسته می‌کند: استفاده مجدد و توزیع ابزارهای سایبری تهاجمی در میان گروه‌های جاسوسی متعدد. این الگو قویاً نشان‌دهنده وجود یک «مدیر ارشد دیجیتال» متمرکز است که مسئول تأمین بدافزار و منابع عملیاتی برای اپراتورهای تحت حمایت دولت است.

قابلیت‌های پیشرفته‌ی در پشتی لینوکس نگرانی‌های جدی را ایجاد می‌کند

این تحقیقات پس از آن آغاز شد که محققان یک فایل باینری ELF که در ماه مه ۲۰۲۵ آپلود شده بود را تجزیه و تحلیل کردند که در ابتدا به عنوان یک درب پشتی لینوکس بسیار پیشرفته با عملکردی شبیه روت‌کیت طبقه‌بندی شده بود. نمونه بدافزار نیز با نام EvaRAT ردیابی می‌شود.

اگرچه بردار دقیق آلودگی هنوز ناشناخته است، اما نفوذهای قبلی Calypso شامل استقرار پوسته‌های وب ASPX پس از سوءاستفاده از آسیب‌پذیری‌ها یا به خطر انداختن حساب‌های پیش‌فرض دسترسی از راه دور بوده است. این گروه همچنین جزو اولین عوامل تهدید چینی بود که از CVE-2021-26855، نقص Microsoft Exchange Server که مرحله اولیه زنجیره سوءاستفاده بدنام ProxyLogon را تشکیل می‌داد، استفاده کرد.

Showboat به گونه‌ای طراحی شده است که با سرورهای کنترل و فرمان از راه دور ارتباط برقرار کند، اطلاعات دقیق سیستم را جمع‌آوری کند و داده‌های جمع‌آوری‌شده را به صورت رمزگذاری‌شده و کدگذاری‌شده با Base64 که در فیلدهای PNG پنهان شده‌اند، ارسال کند. این بدافزار همچنین از طیف وسیعی از ویژگی‌های مخفی‌کاری و عملیاتی پشتیبانی می‌کند، از جمله:

• قابلیت آپلود و دانلود فایل
• تکنیک‌های پنهان‌سازی فرآیند
• مدیریت سرور C2
• اسکن شبکه داخلی
• تونل‌سازی پروکسی SOCKS5 برای حرکت جانبی

برای جلوگیری از شناسایی شدن در میزبان‌های آسیب‌دیده، Showboat یک قطعه کد را از Pastebin بازیابی می‌کند و محققان محتوای میزبانی‌شده را تا ۱۱ ژانویه ۲۰۲۲ ردیابی می‌کنند. تحلیلگران معتقدند که هدف اصلی این بدافزار، تضمین دسترسی مداوم در داخل شبکه‌های هدف، به‌ویژه سیستم‌هایی است که از دسترسی مستقیم به اینترنت جدا شده‌اند و فقط از طریق اتصالات LAN داخلی قابل دسترسی هستند.

گسترش زیرساخت‌ها، قربانیان بین‌المللی را آشکار می‌کند

بررسی بیشتر زیرساخت تهدید، سازمان‌های قربانی متعددی را در مناطق مختلف کشف کرد. محققان یک ارائه‌دهنده خدمات اینترنتی مستقر در افغانستان و یک سازمان ناشناس دیگر واقع در آذربایجان را شناسایی کردند. یک خوشه ثانویه از سرورهای C2 که گواهینامه‌های مشابه X.509 را به اشتراک می‌گذارند نیز به آسیب‌پذیری‌های احتمالی که نهادهای ایالات متحده و اوکراین را تحت تأثیر قرار می‌دهند، اشاره کرد.

ادامه‌ی استقرار بدافزارهای مخرب پایدار نشان می‌دهد که علیرغم استفاده‌ی روزافزون از تکنیک‌های مخفیانه‌ی «زندگی از طریق زمین» توسط بسیاری از عوامل تهدید، گروه‌های پیشرفته هنوز هم برای دسترسی بلندمدت و کنترل عملیاتی به شدت به درهای پشتی سفارشی متکی هستند. کارشناسان امنیتی هشدار می‌دهند که کشف بدافزارهایی مانند Showboat باید به عنوان یک شاخص مهم از نفوذ بالقوه‌ی گسترده‌تر در شبکه‌های آسیب‌دیده تلقی شود.

JFMBackdoor کمپین خود را فراتر از سیستم‌های لینوکس گسترش می‌دهد

علاوه بر Showboat، محققان مشاهده کردند که Calypso در حملاتی که بخش مخابرات افغانستان را هدف قرار می‌داد، یک بدافزار ویندوزی کاملاً مجهز به نام JFMBackdoor را نیز در سیستم خود مستقر کرده است. این بدافزار از طریق بارگذاری جانبی DLL منتقل می‌شود، تکنیکی که از برنامه‌های قانونی برای بارگذاری کتابخانه‌های لینک پویای مخرب سوءاستفاده می‌کند.

زنجیره آلودگی با یک اسکریپت دسته‌ای آغاز می‌شود که یک فایل اجرایی قابل اعتماد را اجرا می‌کند و متعاقباً بار داده مخرب DLL را بارگذاری می‌کند. پس از فعال شدن، JFMBackdoor کنترل عملیاتی گسترده‌ای را بر روی سیستم‌های آسیب‌دیده در اختیار مهاجمان قرار می‌دهد. قابلیت‌های آن شامل موارد زیر است:

• اجرای پوسته از راه دور
• عملیات مدیریت فایل

• قابلیت‌های پروکسی شبکه

• ضبط اسکرین شات

• مکانیسم‌های خودحذفی

تمرکز بر افغانستان و زیرساخت‌های مخابراتی آن، با اهداف استراتژیک گسترده‌تری که قبلاً با عملیات‌های لاماسوی سرخ مرتبط بودند، همسو است و ارزیابی‌هایی را تقویت می‌کند که این کمپین بخشی از یک تلاش جاسوسی سایبری بزرگ‌تر مرتبط با فعالیت‌های تهدیدآمیز چین است.