Showboat kártevő
Kiberbiztonsági kutatók felfedeztek egy korábban nem dokumentált, Showboat néven ismert Linux kártevő keretrendszert, amelyet legalább 2022 közepe óta aktívan telepítettek egy közel-keleti telekommunikációs szolgáltató ellen. A kártevő egy moduláris utólagos kihasználási eszközkészletként működik, amely képes távoli shell-hozzáférést, fájlok átvitelét és SOCKS5 proxyként való működést lehetővé tenni a feltört környezetekben.
A biztonsági elemzők úgy vélik, hogy a rosszindulatú program egy vagy több Kínához köthető fenyegetési klaszterhez kapcsolódik. A nyomozók kapcsolatokat azonosítottak a rosszindulatú program parancsnoki és irányítási (C2) infrastruktúrája és a kínai Szecsuán tartomány fővárosába, Csengtuba visszavezetett IP-címek között, ami megerősíti a kínai állam által támogatott részvétel gyanúját.
Tartalomjegyzék
Kapcsolatok a Kínához köthető fenyegetési műveletekkel
Az egyik a tevékenységhez köthető csoport a Calypso, más néven Bronze Medley és Red Lamassu. A fenyegető szereplő legalább 2016 szeptembere óta aktív, és történelmileg kormányzati és intézményi szervezeteket vett célba Brazíliában, Indiában, Kazahsztánban, Oroszországban, Thaiföldön és Törökországban. A csoportról szóló nyilvános jelentések először 2019-ben jelentek meg a Positive Technologies által publikált kutatás során.
A Calypso korábban olyan kártevőcsaládokra támaszkodott, mint a PlugX, valamint olyan hátsó ajtókra, mint a WhiteBird és a BYEBY. A BYEBY kártevő egy nagyobb, Mikroceen néven ismert operatív klaszterhez tartozik, amelyet a SixLittleMonkeys fenyegetési klaszterhez is összefüggésbe hoztak. A kutatók továbbá taktikai hasonlóságokat is megfigyeltek a SixLittleMonkeys és egy másik, Kínával együttműködő művelet, a Webworm között.
A Showboat megjelenése olyan megosztott keretrendszerek mellett, mint a PlugX, a ShadowPad és a NosyDoor, rávilágít egy szélesebb körű trendre a Kínához kötődő fenyegető szereplők körében: a támadó kibereszközök újrafelhasználására és terjesztésére több kémszervezet között. Ez a minta erősen arra utal, hogy létezik egy központosított „digitális szállásmester”, aki felelős a rosszindulatú programok és az operatív erőforrások államilag támogatott operátorok ellátásáért.
A fejlett Linux hátsó ajtó képességei komoly aggályokat vetnek fel
A nyomozás azután kezdődött, hogy a kutatók elemeztek egy 2025 májusában feltöltött ELF bináris fájlt, amelyet kezdetben egy rootkit-szerű funkciókkal rendelkező, rendkívül fejlett Linux hátsó ajtóként kategorizáltak. A kártevő mintát EvaRAT néven is nyomon követik.
Bár a pontos fertőzési vektor továbbra sem ismert, a korábbi Calypso behatolások során ASPX web shelleket telepítettek sebezhetőségek kihasználása vagy alapértelmezett távoli hozzáférési fiókok feltörése után. A csoport volt az első kínai fenyegető szereplők között is, akik fegyverként használták a CVE-2021-26855-ös számú Microsoft Exchange Server hibát, amely a hírhedt ProxyLogon támadási lánc kezdeti szakaszát képezte.
A Showboat úgy lett kifejlesztve, hogy kommunikációt létesítsen távoli C2 szerverekkel, részletes rendszerinformációkat gyűjtsön, és a gyűjtött adatokat titkosított és Base64 kódolású formában, PNG mezőkbe rejtve továbbítsa. A rosszindulatú program emellett számos lopakodó és működési funkciót is támogat, többek között:
- Fájlfeltöltési és letöltési funkció
- Folyamattitkolás technikái
- C2 szerverkezelés
- Belső hálózati szkennelés
- SOCKS5 proxy alagútépítés az oldalirányú mozgáshoz
A feltört hosztokon való észlelés elkerülése érdekében a Showboat egy kódrészletet kér le a Pastebinből, a kutatók pedig 2022. január 11-ig visszakövetik a tárolt tartalmat. Az elemzők úgy vélik, hogy a rosszindulatú program elsődleges célja a folyamatos hozzáférés biztosítása a célzott hálózatokon belül, különösen azokon a rendszereken, amelyek el vannak zárva a közvetlen internetes kitettségtől, és csak belső LAN-kapcsolatokon keresztül érhetők el.
A bővülő infrastruktúra nemzetközi áldozatokat tár fel
A fenyegetési infrastruktúra további vizsgálata számos, régióra kiterjedő áldozati szervezetet tárt fel. A kutatók azonosítottak egy afganisztáni internetszolgáltatót és egy további, azonosítatlan szervezetet Azerbajdzsánban. Egy hasonló X.509 tanúsítványokat használó C2 szerverekből álló másodlagos klaszter szintén az Egyesült Államokban és Ukrajnában található szervezeteket érintő lehetséges kompromittálódásokra utalt.
A makacs kártevő-implantátumok folyamatos telepítése azt mutatja, hogy annak ellenére, hogy számos fenyegető szereplő egyre inkább lopakodóbb, „a földből élve” technikákat alkalmaz, a fejlett csoportok továbbra is nagymértékben támaszkodnak az egyedi hátsó ajtókra a hosszú távú hozzáférés és a működési ellenőrzés érdekében. Biztonsági szakértők arra figyelmeztetnek, hogy az olyan kártevők, mint a Showboat felfedezését az érintett hálózatokon belüli potenciálisan szélesebb körű kompromittálódás kritikus jelzőjeként kell kezelni.
A JFMBackdoor kiterjeszti kampányát a Linux rendszereken túlra
A Showboat mellett a kutatók megfigyelték, hogy a Calypso egy teljes funkcionalitású Windows kártevő-implantátumot, a JFMBackdoor-t is telepített az afganisztáni telekommunikációs szektor elleni támadások során. A kártevő DLL oldalratöltéssel terjed, ami egy olyan technika, amely legitim alkalmazásokat használ fel rosszindulatú dinamikus linkkönyvtárak betöltésére.
A fertőzési lánc egy kötegelt szkripttel kezdődik, amely elindít egy megbízható futtatható fájlt, amely ezt követően betölti a nem kívánt DLL-fájlt. Aktiválás után a JFMBackdoor széleskörű operatív kontrollt biztosít a támadóknak a feltört rendszerek felett. Funkciói a következők:
- Távoli shell végrehajtás
- Fájlkezelési műveletek
- Hálózati proxy képességek
- Képernyőkép rögzítése
- Öneltávolító mechanizmusok
Az Afganisztánra és telekommunikációs infrastruktúrájára való összpontosítás szorosan illeszkedik a korábban a Vörös Lamasszu műveletekhez kapcsolódó tágabb stratégiai célokhoz, megerősítve azokat a becsléseket, amelyek szerint a kampány egy nagyobb, a kínai fenyegetési tevékenységhez kapcsolódó kiberkémkedési erőfeszítés részét képezi.
