הצעת הנחה מרובה רישיונות
מסד נתונים של איומים איום מתמשך מתקדם (APT) תוכנות זדוניות של Showboat

תוכנות זדוניות של Showboat

עד Mezo ב-איום מתמשך מתקדם (APT), דלתות אחוריות, כלי ניהול מרחוק
לתרגם ל:

חוקרי אבטחת סייבר חשפו מסגרת תוכנה זדונית לינוקס שלא תועדה בעבר, המכונה Showboat, אשר נפרסה באופן פעיל נגד ספקית תקשורת במזרח התיכון מאז אמצע 2022 לפחות. התוכנה הזדונית פועלת ככלי עבודה מודולרי לאחר ניצול, המסוגל לאפשר גישה מרחוק למעטפת, להעביר קבצים ולתפקד כשרת פרוקסי של SOCKS5 בסביבות פרוצות.

אנליסטים בתחום האבטחה מאמינים שהנוזקה קשורה לאשכול איומים אחד או יותר הקשורים לסין. חוקרים זיהו קשרים בין תשתית הפיקוד והשליטה (C2) של הנוזקה לכתובות IP המקורות לצ'נגדו, בירת מחוז סצ'ואן בסין, מה שמחזק את החשדות למעורבות בחסות המדינה הסינית.

קשרים למבצעי איום מבוססים הקשורים לסין

אחת הקבוצות הקשורות לפעילות היא Calypso, הידועה גם בשם Bronze Medley ו-Red Lamassu. גורם האיום פעיל לפחות מאז ספטמבר 2016 ופעל באופן היסטורי נגד גופים ממשלתיים ומוסדיים ברחבי ברזיל, הודו, קזחסטן, רוסיה, תאילנד וטורקיה. דיווחים ציבוריים על הקבוצה צפו לראשונה בשנת 2019 באמצעות מחקר שפורסם על ידי Positive Technologies.

בעבר, Calypso הסתמכה על משפחות תוכנות זדוניות כמו PlugX, יחד עם תוכנות אחוריות כמו WhiteBird ו-BYEBY. תוכנת הזדונית BYEBY שייכת לאשכול מבצעי גדול יותר המכונה Mikroceen, אשר נקשר גם לאשכול האיומים SixLittleMonkeys. חוקרים ציינו גם קווי דמיון טקטיים בין SixLittleMonkeys לבין פעולה נוספת המזוהה עם סין המכונה Webworm.

הופעתה של Showboat לצד מסגרות משותפות כמו PlugX, ShadowPad ו-NosyDoor מדגישה מגמה רחבה יותר בקרב גורמי איום הקשורים לסין: שימוש חוזר והפצה של כלי סייבר התקפיים על פני קבוצות ריגול מרובות. דפוס זה מרמז מאוד על קיומו של "מנהל אפסנאות דיגיטלי" מרכזי האחראי על אספקת תוכנות זדוניות ומשאבים תפעוליים למפעילים הנתמכים על ידי המדינה.

יכולות מתקדמות של דלת אחורית בלינוקס מעלות חששות רציניים

החקירה החלה לאחר שחוקרים ניתחו קובץ בינארי מסוג ELF שהועלה במאי 2025, אשר סווג בתחילה כדלת אחורית מתקדמת ביותר של לינוקס עם פונקציונליות דמוית rootkit. דוגמת הנוזקה מנוהלת גם תחת השם EvaRAT.

למרות שווקטור ההדבקה המדויק נותר לא ידוע, חדירות קודמות ל-Calypso כללו פריסת מעטפות אינטרנט של ASPX לאחר ניצול פגיעויות או פגיעה בחשבונות גישה מרחוק המוגדרים כברירת מחדל. הקבוצה הייתה גם בין גורמי האיום הסיניים הראשונים שהפכו את CVE-2021-26855 לנשק, הפגם ב-Microsoft Exchange Server שהיווה את השלב הראשוני בשרשרת הפריצות הידועה לשמצה של ProxyLogon.

Showboat מתוכננת ליצור תקשורת עם שרתי C2 מרוחקים, לאסוף מידע מפורט על המערכת ולהעביר את הנתונים שנאספו בצורה מוצפנת ומקודדת Base64, המוסתרת בתוך שדות PNG. הנוזקה תומכת גם במגוון תכונות חמקניות ותפעוליות, כולל:

  • פונקציונליות העלאה והורדה של קבצים
  • טכניקות הסתרת תהליכים
  • ניהול שרת C2
  • סריקת רשת פנימית
  • מנהור פרוקסי SOCKS5 לתנועה רוחבית

כדי להתחמק מגילוי של רשתות מארח שנפגעו, Showboat מאחזרת קטע קוד מ-Pastebin, כאשר חוקרים עוקבים אחר התוכן המאוחסן עד ל-11 בינואר 2022. אנליסטים מאמינים שמטרתה העיקרית של הנוזקה היא לאבטח גישה מתמשכת בתוך רשתות ממוקדות, במיוחד מערכות המבודדות מחשיפה ישירה לאינטרנט וניתנות לגישה רק דרך חיבורי LAN פנימיים.

הרחבת התשתיות חושפת קורבנות בינלאומיים

בדיקה נוספת של תשתית האיום חשפה מספר ארגוני קורבנות הפרושים על פני מספר אזורים. החוקרים זיהו ספק שירותי אינטרנט שבסיסו באפגניסטן וארגון נוסף לא מזוהה הממוקם באזרבייג'ן. אשכול משני של שרתי C2 שחולקים תעודות X.509 דומות הצביע גם הוא על פגיעות אפשריות המשפיעות על ישויות בארצות הברית ובאוקראינה.

הפריסה המתמשכת של שתלי תוכנות זדוניות מתמשכות מדגימה שלמרות השימוש הגובר בטכניקות חשאיות של "חיים מהאדמה" על ידי גורמי איום רבים, קבוצות מתקדמות עדיין מסתמכות במידה רבה על דלתות אחוריות מותאמות אישית לצורך גישה ארוכת טווח ובקרה תפעולית. מומחי אבטחה מזהירים כי יש להתייחס לגילוי תוכנות זדוניות כמו Showboat כאל אינדיקטור קריטי לפגיעה רחבה יותר פוטנציאלית בתוך הרשתות שנפגעו.

JFMBackdoor מרחיב את הקמפיין מעבר למערכות לינוקס

בנוסף ל-Showboat, חוקרים צפו ב-Calypso פורסת תוכנה זדונית מלאה ל-Windows המכונה JFMBackdoor במהלך מתקפות המכוונות למגזר התקשורת של אפגניסטן. התוכנה הזדונית מועברת באמצעות טעינת DLL צדדית, טכניקה שמנצלת לרעה יישומים לגיטימיים כדי לטעון ספריות קישור דינמיות זדוניות.

שרשרת ההדבקה מתחילה בסקריפט אצווה שמפעיל קובץ הרצה מהימן, אשר לאחר מכן טוען את מטען ה-DLL הסורר. לאחר פעילותו, JFMBackdoor מספק לתוקפים שליטה תפעולית נרחבת על מערכות שנפרצו. הפונקציונליות שלו כוללת:

  • ביצוע מעטפת מרחוק
  • פעולות ניהול קבצים
  • יכולות פרוקסי רשת
  • צילום מסך
  • מנגנוני הסרה עצמית

    • ההתמקדות באפגניסטן ובתשתית התקשורת שלה תואמת קשר הדוק עם היעדים האסטרטגיים הרחבים יותר שקושרו בעבר למבצעי "רד למסו", מה שמחזק את ההערכות שהקמפיין מהווה חלק ממאמץ ריגול סייבר גדול יותר הקשור לפעילות איום סינית.

    מגמות

    עדכון אבטחה לזיהוי הונאות דוא"ל של מכשירים ומיקומים...

    פישינג, ספאם
    יש להתייחס בזהירות לאימיילים בלתי צפויים הדורשים פעולה דחופה, במיוחד כאשר הם כוללים אזהרות אבטחה של החשבון או בקשות לאימות מידע אישי. פושעי סייבר מסווים לעתים קרובות הודעות פישינג כהודעות רשמיות כדי לתמרן את הנמענים לחשוף מידע רגיש. האימיילים "עדכון אבטחה לזיהוי מכשירים ומיקומים מהימנים" הם חלק מקמפיין הונאה כזה ואינם קשורים לחברות, ארגונים או ספקי שירותי דוא"ל לגיטימיים. הודעת אבטחה הונאה...

    הכי נצפה

    טוען...