Showboat ļaunprogrammatūra
Kiberdrošības pētnieki ir atklājuši iepriekš nedokumentētu Linux ļaunprogrammatūras ietvaru, kas pazīstams kā Showboat un kas tiek aktīvi izmantots pret telekomunikāciju pakalpojumu sniedzēju Tuvajos Austrumos vismaz kopš 2022. gada vidus. Ļaunprogrammatūra darbojas kā modulārs pēcekspluatācijas rīku komplekts, kas spēj nodrošināt attālinātu piekļuvi apvalkam, pārsūtīt failus un darboties kā SOCKS5 starpniekserveris apdraudētās vidēs.
Drošības analītiķi uzskata, ka ļaunprogrammatūra ir saistīta ar vienu vai vairākiem ar Ķīnu saistītiem apdraudējumu klasteriem. Izmeklētāji ir identificējuši saistību starp ļaunprogrammatūras vadības un kontroles (C2) infrastruktūru un IP adresēm, kas izsekotas līdz Čendu, Ķīnas Sičuaņas provinces galvaspilsētai, pastiprinot aizdomas par Ķīnas valsts sponsorētu iesaisti.
Satura rādītājs
Saiknes ar izveidotām ar Ķīnu saistītām draudu operācijām
Viena no ar šo darbību saistītajām grupām ir Calypso, kas pazīstama arī kā Bronze Medley un Red Lamassu. Šis apdraudējuma grupējums darbojas vismaz kopš 2016. gada septembra un vēsturiski ir vērsies pret valdības un institucionālām struktūrām Brazīlijā, Indijā, Kazahstānā, Krievijā, Taizemē un Turcijā. Publiskā informācija par šo grupu pirmo reizi parādījās 2019. gadā, pateicoties Positive Technologies publicētajam pētījumam.
Calypso iepriekš ir paļāvies uz tādām ļaunprogrammatūru saimēm kā PlugX, kā arī uz aizmugurējām durvīm, piemēram, WhiteBird un BYEBY. BYEBY ļaunprogrammatūra pieder pie lielāka operacionālā klastera, ko dēvē par Mikroceen un kas ir saistīts arī ar SixLittleMonkeys apdraudējumu klasteri. Pētnieki arī atzīmēja taktiskas līdzības starp SixLittleMonkeys un citu ar Ķīnu saistītu operāciju, kas pazīstama kā Webworm.
Showboat parādīšanās līdzās tādiem koplietotiem ietvariem kā PlugX, ShadowPad un NosyDoor izceļ plašāku tendenci Ķīnas apdraudējumu dalībnieku vidū: aizskarošu kiberrīku atkārtota izmantošana un izplatīšana vairākās spiegošanas grupās. Šī tendence stingri norāda uz centralizēta “digitālā intendanta” esamību, kas ir atbildīgs par ļaunprogrammatūras un operatīvo resursu piegādi valsts atbalstītiem operatoriem.
Uzlabotas Linux aizmugures durvju iespējas rada nopietnas bažas
Izmeklēšana tika uzsākta pēc tam, kad pētnieki analizēja 2025. gada maijā augšupielādētu ELF bināro failu, kas sākotnēji tika klasificēts kā ļoti uzlabota Linux aizmugurējā durvju sistēma ar rootkit līdzīgu funkcionalitāti. Ļaunprogrammatūras paraugs tiek izsekots arī ar nosaukumu EvaRAT.
Lai gan precīzs inficēšanās vektors joprojām nav zināms, iepriekšējie Calypso ielaušanās gadījumi ir saistīti ar ASPX tīmekļa čaulu izvietošanu pēc ievainojamību izmantošanas vai noklusējuma attālās piekļuves kontu apdraudēšanas. Grupa bija arī viena no pirmajām Ķīnas apdraudējumu grupām, kas izmantoja kā ieroci CVE-2021-26855 — Microsoft Exchange Server trūkumu, kas veidoja bēdīgi slavenās ProxyLogon izmantošanas ķēdes sākotnējo posmu.
Showboat ir izstrādāts, lai izveidotu saziņu ar attāliem C2 serveriem, apkopotu detalizētu sistēmas informāciju un pārsūtītu iegūtos datus šifrētā un Base64 kodētā veidā, kas paslēpti PNG laukos. Ļaunprogrammatūra atbalsta arī virkni slepenības un darbības funkciju, tostarp:
- Failu augšupielādes un lejupielādes funkcionalitāte
- Procesa slēpšanas metodes
- C2 serveru pārvaldība
- Iekšējā tīkla skenēšana
- SOCKS5 starpniekservera tunelēšana sānu kustībai
Lai izvairītos no atklāšanas apdraudētos resursdatoros, Showboat izgūst koda fragmentu no Pastebin, un pētnieki izseko mitinātā satura vēsturi līdz 2022. gada 11. janvārim. Analītiķi uzskata, ka ļaunprogrammatūras galvenais mērķis ir nodrošināt pastāvīgu piekļuvi mērķa tīklos, jo īpaši sistēmās, kas ir izolētas no tiešas piekļuves internetam un kurām var piekļūt tikai caur iekšējiem lokālā tīkla savienojumiem.
Paplašinātā infrastruktūra atklāj starptautiskus upurus
Turpmāka apdraudējumu infrastruktūras izpēte atklāja vairākas upuru organizācijas, kas aptver vairākus reģionus. Pētnieki identificēja Afganistānā bāzētu interneta pakalpojumu sniedzēju un vēl vienu neidentificētu organizāciju, kas atrodas Azerbaidžānā. Otrreizējs C2 serveru klasteris, kas koplieto līdzīgus X.509 sertifikātus, arī norādīja uz iespējamiem apdraudējumiem, kas ietekmē vienības Amerikas Savienotajās Valstīs un Ukrainā.
Pastāvīgo ļaunprogrammatūras implantu izvietošana liecina, ka, neskatoties uz to, ka daudzi apdraudējumu veidotāji arvien vairāk izmanto slepenākas “pelniem bagātas” metodes, progresīvas grupas joprojām lielā mērā paļaujas uz pielāgotām aizmugurējām durvīm ilgtermiņa piekļuvei un darbības kontrolei. Drošības eksperti brīdina, ka tādas ļaunprogrammatūras kā Showboat atklāšana jāuztver kā kritisks rādītājs potenciāli plašākam apdraudējumam skartajos tīklos.
JFMBackdoor paplašina kampaņu ārpus Linux sistēmām
Papildus Showboat uzbrukumam pētnieki novēroja, ka Calypso uzbrukumu laikā Afganistānas telekomunikāciju sektoram izvietoja pilnvērtīgu Windows ļaunprogrammatūras implantu, kas pazīstams kā JFMBackdoor. Ļaunprogrammatūra tiek piegādāta, izmantojot DLL sānu ielādi — tehniku, kas ļaunprātīgi izmanto likumīgas lietojumprogrammas, lai ielādētu ļaunprātīgas dinamisko saišu bibliotēkas.
Infekcijas ķēde sākas ar partijas skriptu, kas palaiž uzticamu izpildāmo failu, kurš pēc tam ielādē negodīgo DLL lietderīgo failu. Kad JFMBackdoor ir aktīvs, tas nodrošina uzbrucējiem plašu operatīvo kontroli pār apdraudētajām sistēmām. Tā funkcionalitāte ietver:
- Attālā čaulas izpilde
- Failu pārvaldības darbības
- Tīkla starpniekservera iespējas
- Ekrānuzņēmums
- Pašnoņemšanas mehānismi
Koncentrēšanās uz Afganistānu un tās telekomunikāciju infrastruktūru cieši saskan ar plašākiem stratēģiskajiem mērķiem, kas iepriekš bija saistīti ar operācijām “Sarkanais Lamassu”, pastiprinot novērtējumus, ka kampaņa ir daļa no plašākiem kiberizlūkošanas centieniem, kas saistīti ar Ķīnas draudu aktivitātēm.
