„Showboat“ kenkėjiška programa
Kibernetinio saugumo tyrėjai atrado anksčiau nedokumentuotą „Linux“ kenkėjiškų programų sistemą, žinomą kaip „Showboat“, kuri buvo aktyviai naudojama prieš telekomunikacijų paslaugų teikėją Artimuosiuose Rytuose mažiausiai nuo 2022 m. vidurio. Kenkėjiška programa veikia kaip modulinis įrankių rinkinys po išnaudojimo, galintis įgalinti nuotolinę prieigą prie apvalkalo, perduoti failus ir veikti kaip SOCKS5 tarpinis serveris pažeistoje aplinkoje.
Saugumo analitikai mano, kad kenkėjiška programa yra susijusi su vienu ar keliais su Kinija susijusiais grėsmių klasteriais. Tyrėjai nustatė ryšius tarp kenkėjiškos programos vadovavimo ir kontrolės (C2) infrastruktūros ir IP adresų, siejamų su Čengdu, Kinijos Sičuano provincijos sostine, o tai sustiprina įtarimus dėl Kinijos valstybės remiamo dalyvavimo.
Turinys
Ryšiai su nusistovėjusiomis su Kinija susijusiomis grėsmės operacijomis
Viena iš su šia veikla siejamų grupuočių yra „Calypso“, dar žinoma kaip „Bronze Medley“ ir „Red Lamassu“. Šis grėsmės vykdytojas veikia mažiausiai nuo 2016 m. rugsėjo mėn. ir istoriškai taikėsi į vyriausybines ir institucines įstaigas visoje Brazilijoje, Indijoje, Kazachstane, Rusijoje, Tailande ir Turkijoje. Vieši pranešimai apie šią grupuotę pirmą kartą pasirodė 2019 m., paskelbus tyrimą „Positive Technologies“.
„Calypso“ anksčiau naudojo tokias kenkėjiškų programų šeimas kaip „PlugX“, taip pat tokias slaptas programas kaip „WhiteBird“ ir „BYEBY“. Kenkėjiška programa „BYEBY“ priklauso didesniam operacijų klasteriui, vadinamam „Mikroceen“, kuris taip pat buvo susietas su „SixLittleMonkeys“ grėsmių klasteriu. Tyrėjai taip pat pastebėjo taktinius panašumus tarp „SixLittleMonkeys“ ir kitos su Kinija susijusios operacijos, žinomos kaip „Webworm“.
„Showboat“ pasirodymas kartu su bendromis platformomis, tokiomis kaip „PlugX“, „ShadowPad“ ir „NosyDoor“, pabrėžia platesnę tendenciją tarp Kinijos grėsmių subjektų: pakartotinį puolamųjų kibernetinių įrankių naudojimą ir platinimą keliose šnipinėjimo grupėse. Ši tendencija aiškiai rodo centralizuoto „skaitmeninio intendantūros vadovo“, atsakingo už kenkėjiškų programų ir operatyvinių išteklių tiekimą valstybės remiamiems operatoriams, egzistavimą.
Pažangios „Linux“ užpakalinių durų galimybės kelia rimtų abejonių
Tyrimas buvo pradėtas po to, kai tyrėjai išanalizavo 2025 m. gegužės mėn. įkeltą ELF dvejetainį failą, kuris iš pradžių buvo priskirtas itin pažangioms „Linux“ užpakalinėms durims su rootkit tipo funkcijomis. Kenkėjiškos programos pavyzdys taip pat sekamas pavadinimu „EvaRAT“.
Nors tikslus užkrato vektorius nežinomas, ankstesni „Calypso“ įsilaužimai buvo susiję su ASPX žiniatinklio apvalkalų dislokavimu, išnaudojus pažeidžiamumus arba pažeidus numatytąsias nuotolinės prieigos paskyras. Grupė taip pat buvo viena iš pirmųjų Kinijos kibernetinių agentų, panaudojusių ginklą CVE-2021-26855 – „Microsoft Exchange Server“ spragą, kuri sudarė pradinį liūdnai pagarsėjusios „ProxyLogon“ spragų grandinės etapą.
„Showboat“ sukurta taip, kad užmegztų ryšį su nuotoliniais C2 serveriais, rinktų išsamią sistemos informaciją ir perduotų surinktus duomenis užšifruota ir „Base64“ koduota forma, paslėpta PNG laukuose. Kenkėjiška programa taip pat palaiko įvairias slaptas ir operacines funkcijas, įskaitant:
- Failų įkėlimo ir atsisiuntimo funkcija
- Proceso slėpimo metodai
- C2 serverio valdymas
- Vidinio tinklo nuskaitymas
- SOCKS5 tarpinio serverio tuneliavimas šoniniam judėjimui
Siekdama išvengti aptikimo pažeistuose serveriuose, „Showboat“ nuskaito kodo fragmentą iš „Pastebin“, o tyrėjai atsekė talpinamo turinio istoriją iki 2022 m. sausio 11 d. Analitikai mano, kad pagrindinis kenkėjiškos programos tikslas – užsitikrinti nuolatinę prieigą tiksliniuose tinkluose, ypač sistemose, izoliuotose nuo tiesioginio interneto poveikio ir pasiekiamose tik per vidinius LAN ryšius.
Plėtojama infrastruktūra atskleidžia tarptautines aukas
Tolesnis grėsmių infrastruktūros tyrimas atskleidė kelias aukų organizacijas, veikiančias keliuose regionuose. Tyrėjai nustatė Afganistane įsikūrusį interneto paslaugų teikėją ir dar vieną nenustatytą organizaciją, esančią Azerbaidžane. Antrinis C2 serverių, turinčių panašius X.509 sertifikatus, klasteris taip pat atkreipė dėmesį į galimus įsilaužimus, darančius įtaką subjektams Jungtinėse Valstijose ir Ukrainoje.
Nuolatinis kenkėjiškų programų diegimas rodo, kad nepaisant to, jog daugelis grėsmių veikėjų vis dažniau naudoja slaptus „išsigelbėjimo iš žemės“ metodus, pažangios grupuotės vis dar labai pasikliauja pritaikytais užpakaliniais durimis, kad užtikrintų ilgalaikę prieigą ir operacijų kontrolę. Saugumo ekspertai perspėja, kad tokių kenkėjiškų programų kaip „Showboat“ aptikimas turėtų būti laikomas svarbiu potencialiai platesnio masto įsilaužimo paveiktuose tinkluose rodikliu.
„JFMBackdoor“ plečia kampaniją už „Linux“ sistemų ribų
Be „Showboat“ atakų, tyrėjai pastebėjo, kad „Calypso“ per atakas, nukreiptas prieš Afganistano telekomunikacijų sektorių, diegė visavertę „Windows“ kenkėjišką programą, vadinamą „JFMBackdoor“. Kenkėjiška programa platinama naudojant DLL šoninio įkėlimo metodą – techniką, kuri piktnaudžiauja teisėtomis programomis, kad įkeltų kenkėjiškas dinaminių nuorodų bibliotekas.
Užkrėtimo grandinė prasideda paketiniu scenarijumi, kuris paleidžia patikimą vykdomąjį failą, kuris vėliau įkelia nesąžiningą DLL paketą. Kai JFMBackdoor tampa aktyvus, jis suteikia užpuolikams plačią operacinę kontrolę pažeistose sistemose. Jo funkcijos apima:
- Nuotolinis apvalkalo vykdymas
Dėmesys Afganistanui ir jo telekomunikacijų infrastruktūrai glaudžiai atitinka platesnius strateginius tikslus, anksčiau sietus su „Raudonojo Lamaso“ operacijomis, ir sustiprina vertinimus, kad ši kampanija yra platesnių kibernetinio šnipinėjimo pastangų, susijusių su Kinijos grėsmės veikla, dalis.
