Perisian Hasad Showboat
Penyelidik keselamatan siber telah menemui rangka kerja perisian hasad Linux yang sebelum ini tidak didokumenkan yang dikenali sebagai Showboat, yang telah digunakan secara aktif terhadap penyedia telekomunikasi di Timur Tengah sekurang-kurangnya sejak pertengahan 2022. Perisian hasad ini beroperasi sebagai kit alat pasca eksploitasi modular yang mampu mendayakan akses shell jauh, memindahkan fail dan berfungsi sebagai proksi SOCKS5 dalam persekitaran yang terjejas.
Penganalisis keselamatan percaya perisian hasad itu dikaitkan dengan satu atau lebih kelompok ancaman yang berkaitan dengan China. Penyiasat mengenal pasti hubungan antara infrastruktur Perintah dan Kawalan (C2) perisian hasad dan alamat IP yang dikesan ke Chengdu, ibu kota wilayah Sichuan China, sekali gus menguatkan syak wasangka penglibatan yang ditaja oleh kerajaan China.
Isi kandungan
Hubungan dengan Operasi Ancaman Berkaitan China yang Ditubuhkan
Salah satu kumpulan yang berkaitan dengan aktiviti tersebut ialah Calypso, juga dikenali sebagai Bronze Medley dan Red Lamassu. Aktor ancaman ini telah aktif sekurang-kurangnya sejak September 2016 dan secara sejarahnya telah menyasarkan entiti kerajaan dan institusi di seluruh Brazil, India, Kazakhstan, Rusia, Thailand dan Turki. Laporan awam mengenai kumpulan itu mula muncul pada tahun 2019 melalui kajian yang diterbitkan oleh Positive Technologies.
Calypso sebelum ini bergantung pada keluarga perisian hasad seperti PlugX, bersama-sama dengan pintu belakang termasuk WhiteBird dan BYEBY. Perisian hasad BYEBY tergolong dalam kelompok operasi yang lebih besar yang dirujuk sebagai Mikroceen, yang juga telah dikaitkan dengan kelompok ancaman SixLittleMonkeys. Penyelidik selanjutnya menyatakan persamaan taktikal antara SixLittleMonkeys dan satu lagi operasi yang sejajar dengan China yang dikenali sebagai Webworm.
Kemunculan Showboat bersama-sama rangka kerja kongsi seperti PlugX, ShadowPad dan NosyDoor menonjolkan trend yang lebih luas dalam kalangan pelaku ancaman nexus China: penggunaan semula dan pengedaran alat siber ofensif merentasi pelbagai kumpulan pengintipan. Corak ini sangat mencadangkan kewujudan 'quartermaster digital' berpusat yang bertanggungjawab membekalkan perisian hasad dan sumber operasi kepada pengendali yang disokong oleh kerajaan.
Keupayaan Pintu Belakang Linux Lanjutan Menimbulkan Kebimbangan Serius
Siasatan bermula selepas para penyelidik menganalisis binari ELF yang dimuat naik pada Mei 2025 yang pada mulanya dikategorikan sebagai pintu belakang Linux yang sangat canggih dengan fungsi seperti rootkit. Sampel perisian hasad juga dikesan di bawah nama EvaRAT.
Walaupun vektor jangkitan yang tepat masih tidak diketahui, pencerobohan Calypso sebelum ini melibatkan penggunaan cangkerang web ASPX selepas mengeksploitasi kelemahan atau menjejaskan akaun akses jauh lalai. Kumpulan itu juga merupakan antara pelaku ancaman China terawal yang menggunakan CVE-2021-26855, kecacatan Microsoft Exchange Server yang membentuk peringkat awal rantaian eksploitasi ProxyLogon yang terkenal.
Showboat direka bentuk untuk mewujudkan komunikasi dengan pelayan C2 jauh, mengumpul maklumat sistem terperinci dan menghantar data yang dituai dalam bentuk yang disulitkan dan dikodkan Base64 yang tersembunyi dalam medan PNG. Malware ini juga menyokong pelbagai ciri senyap dan operasi, termasuk:
- Fungsi muat naik dan muat turun fail
- Teknik penyembunyian proses
- Pengurusan pelayan C2
- Pengimbasan rangkaian dalaman
- Terowong proksi SOCKS5 untuk pergerakan sisi
Untuk mengelakkan pengesanan pada hos yang dikompromi, Showboat mendapatkan semula coretan kod daripada Pastebin, dengan penyelidik menjejaki kandungan yang dihoskan kembali ke 11 Januari 2022. Penganalisis percaya objektif utama perisian hasad adalah untuk menjamin akses berterusan di dalam rangkaian yang disasarkan, terutamanya sistem yang diasingkan daripada pendedahan internet langsung dan hanya boleh dicapai melalui sambungan LAN dalaman.
Memperluas Infrastruktur Mendedahkan Mangsa Antarabangsa
Pemeriksaan lanjut terhadap infrastruktur ancaman telah menemui pelbagai organisasi mangsa yang merangkumi beberapa wilayah. Para penyelidik mengenal pasti penyedia perkhidmatan internet yang berpangkalan di Afghanistan dan satu lagi organisasi yang tidak dikenali yang terletak di Azerbaijan. Kelompok sekunder pelayan C2 yang berkongsi sijil X.509 yang serupa juga menunjukkan kemungkinan kompromi yang menjejaskan entiti di Amerika Syarikat dan Ukraine.
Penggunaan berterusan implan perisian hasad yang berterusan menunjukkan bahawa, meskipun penggunaan teknik 'hidup di luar kawasan' yang lebih tersembunyi semakin meningkat oleh ramai pelaku ancaman, kumpulan lanjutan masih banyak bergantung pada pintu belakang tersuai untuk akses jangka panjang dan kawalan operasi. Pakar keselamatan memberi amaran bahawa penemuan perisian hasad seperti Showboat harus dianggap sebagai petunjuk kritikal bagi potensi kompromi yang lebih luas dalam rangkaian yang terjejas.
JFMBackdoor Memperluas Kempen Melangkaui Sistem Linux
Selain Showboat, para penyelidik memerhatikan Calypso menggunakan implan malware Windows berciri penuh yang dikenali sebagai JFMBackdoor semasa serangan yang menyasarkan sektor telekomunikasi Afghanistan. Malware tersebut dihantar melalui pemuatan sisi DLL, satu teknik yang menyalahgunakan aplikasi yang sah untuk memuatkan pustaka pautan dinamik yang berniat jahat.
Rantaian jangkitan bermula dengan skrip kelompok yang melancarkan skrip boleh laku yang dipercayai, yang seterusnya memuatkan muatan DLL penyangak. Sebaik sahaja aktif, JFMBackdoor menyediakan penyerang dengan kawalan operasi yang meluas ke atas sistem yang diceroboh. Fungsinya termasuk:
- Pelaksanaan shell jauh
- Operasi pengurusan fail
- Keupayaan proksi rangkaian
- Tangkapan skrin
- Mekanisme penyingkiran sendiri
Tumpuan terhadap Afghanistan dan infrastruktur telekomunikasinya sejajar dengan objektif strategik yang lebih luas yang sebelum ini dikaitkan dengan operasi Red Lamassu, mengukuhkan penilaian bahawa kempen itu merupakan sebahagian daripada usaha pengintipan siber yang lebih besar yang berkaitan dengan aktiviti ancaman China.
