Zlonamjerni softver Showboat
Istraživači kibernetičke sigurnosti otkrili su prethodno nedokumentirani okvir zlonamjernog softvera za Linux poznat kao Showboat, koji se aktivno koristi protiv telekomunikacijskog davatelja usluga na Bliskom istoku barem od sredine 2022. Zlonamjerni softver djeluje kao modularni skup alata nakon iskorištavanja sposoban omogućiti udaljeni pristup ljusci, prijenos datoteka i funkcionirati kao SOCKS5 proxy unutar kompromitiranih okruženja.
Sigurnosni analitičari vjeruju da je zlonamjerni softver povezan s jednim ili više klastera prijetnji povezanih s Kinom. Istražitelji su identificirali veze između infrastrukture za upravljanje i kontrolu (C2) zlonamjernog softvera i IP adresa koje se prate do Chengdua, glavnog grada kineske pokrajine Sečuan, što pojačava sumnje o umiješanosti kineske države.
Sadržaj
Veze s etabliranim operacijama prijetnji povezanim s Kinom
Jedna od grupa povezanih s aktivnošću je Calypso, poznata i kao Bronze Medley i Red Lamassu. Ovaj napadač aktivan je najmanje od rujna 2016. i povijesno je ciljao vladine i institucionalne subjekte diljem Brazila, Indije, Kazahstana, Rusije, Tajlanda i Turske. Javno izvještavanje o grupi prvi put se pojavilo 2019. godine putem istraživanja koje je objavila tvrtka Positive Technologies.
Calypso se prethodno oslanjao na obitelji zlonamjernog softvera poput PlugX-a, zajedno sa stražnjim vratima uključujući WhiteBird i BYEBY. Zlonamjerni softver BYEBY pripada većem operativnom klasteru pod nazivom Mikroceen, koji je također povezan s klasterom prijetnji SixLittleMonkeys. Istraživači su dodatno primijetili taktičke sličnosti između SixLittleMonkeys i druge operacije povezane s Kinom poznate kao Webworm.
Pojava Showboata uz zajedničke okvire poput PlugX-a, ShadowPada i NosyDoora naglašava širi trend među akterima prijetnji u kineskoj vezi: ponovnu upotrebu i distribuciju ofenzivnih kibernetičkih alata među više špijunskih skupina. Ovaj obrazac snažno sugerira postojanje centraliziranog 'digitalnog intendanta' odgovornog za opskrbu zlonamjernim softverom i operativnim resursima državnim operaterima.
Napredne mogućnosti Linux Backdoora izazivaju ozbiljnu zabrinutost
Istraga je započela nakon što su istraživači analizirali ELF binarni fajl postavljen u svibnju 2025. koji je u početku kategoriziran kao visoko napredni Linux backdoor s funkcionalnostima sličnim rootkitu. Uzorak zlonamjernog softvera prati se i pod imenom EvaRAT.
Iako točan vektor zaraze ostaje nepoznat, prethodni Calypso upadi uključivali su postavljanje ASPX web ljuski nakon iskorištavanja ranjivosti ili kompromitiranja zadanih računa za udaljeni pristup. Grupa je također bila među najranijim kineskim prijetnjama koje su kao oružje iskoristile CVE-2021-26855, manu Microsoft Exchange Servera koja je činila početnu fazu zloglasnog lanca iskorištavanja ProxyLogon.
Showboat je dizajniran za uspostavljanje komunikacije s udaljenim C2 poslužiteljima, prikupljanje detaljnih informacija o sustavu i prijenos prikupljenih podataka u šifriranom i Base64 kodiranom obliku skrivenom unutar PNG polja. Zlonamjerni softver također podržava niz prikrivenih i operativnih značajki, uključujući:
- Funkcionalnost prijenosa i preuzimanja datoteka
- Tehnike skrivanja procesa
- Upravljanje C2 serverima
- Skeniranje interne mreže
- SOCKS5 proxy tuneliranje za lateralno kretanje
Kako bi izbjegao otkrivanje na kompromitiranim hostovima, Showboat dohvaća isječak koda iz Pastebina, a istraživači prate hostirani sadržaj do 11. siječnja 2022. Analitičari vjeruju da je primarni cilj zlonamjernog softvera osigurati trajni pristup unutar ciljanih mreža, posebno sustava izoliranih od izravne izloženosti internetu i dostupnih samo putem internih LAN veza.
Širenje infrastrukture otkriva međunarodne žrtve
Daljnjim ispitivanjem infrastrukture prijetnji otkriveno je više organizacija žrtava koje se protežu kroz nekoliko regija. Istraživači su identificirali pružatelja internetskih usluga sa sjedištem u Afganistanu i dodatnu neidentificiranu organizaciju smještenu u Azerbajdžanu. Sekundarni klaster C2 poslužitelja koji dijele slične X.509 certifikate također je ukazao na moguće kompromitacije koje utječu na subjekte u Sjedinjenim Državama i Ukrajini.
Kontinuirano postavljanje trajnih implantata zlonamjernog softvera pokazuje da, unatoč sve većoj upotrebi prikrivenijih tehnika "življenja od zemlje" od strane mnogih aktera prijetnji, napredne skupine i dalje se uvelike oslanjaju na prilagođene stražnje ulaze za dugoročni pristup i operativnu kontrolu. Sigurnosni stručnjaci upozoravaju da bi otkriće zlonamjernog softvera poput Showboata trebalo tretirati kao ključni pokazatelj potencijalno šireg kompromitiranja unutar pogođenih mreža.
JFMBackdoor proširuje kampanju izvan Linux sustava
Uz Showboat, istraživači su primijetili kako Calypso implementira potpuno funkcionalni implant zlonamjernog softvera za Windows poznat kao JFMBackdoor tijekom napada usmjerenih na telekomunikacijski sektor u Afganistanu. Zlonamjerni softver se isporučuje putem bočnog učitavanja DLL-a, tehnike koja zloupotrebljava legitimne aplikacije za učitavanje zlonamjernih biblioteka dinamičkih veza.
Lanac zaraze započinje batch skriptom koja pokreće pouzdanu izvršnu datoteku koja potom učitava lažni DLL sadržaj. Nakon što je aktivan, JFMBackdoor napadačima pruža opsežnu operativnu kontrolu nad kompromitiranim sustavima. Njegova funkcionalnost uključuje:
- Izvršavanje udaljene ljuske
- Operacije upravljanja datotekama
- Mogućnosti mrežnog proxyja
- Snimanje zaslona
- Mehanizmi samouklanjanja
Fokus na Afganistan i njegovu telekomunikacijsku infrastrukturu usko je usklađen sa širim strateškim ciljevima koji su prethodno bili povezani s operacijama Red Lamassu, što pojačava procjene da je kampanja dio većeg napora kibernetičke špijunaže povezanog s kineskim prijetećim aktivnostima.
