Showboat Malware
Badacze cyberbezpieczeństwa odkryli nieudokumentowany wcześniej framework złośliwego oprogramowania dla systemu Linux, znany jako Showboat, który był aktywnie wykorzystywany przeciwko dostawcy usług telekomunikacyjnych na Bliskim Wschodzie co najmniej od połowy 2022 roku. Szkodliwe oprogramowanie działa jako modułowy zestaw narzędzi poeksploatacyjnych, umożliwiający zdalny dostęp do powłoki, przesyłanie plików i funkcjonowanie jako serwer proxy SOCKS5 w zainfekowanych środowiskach.
Analitycy bezpieczeństwa uważają, że złośliwe oprogramowanie jest powiązane z jednym lub kilkoma klastrami zagrożeń powiązanymi z Chinami. Śledczy zidentyfikowali powiązania między infrastrukturą dowodzenia i kontroli (C2) złośliwego oprogramowania a adresami IP powiązanymi z Chengdu, stolicą chińskiej prowincji Syczuan, co wzmacnia podejrzenia o zaangażowaniu chińskiego państwa.
Spis treści
Powiązania z ustalonymi operacjami stanowiącymi zagrożenie powiązanymi z Chinami
Jedną z grup powiązanych z tą działalnością jest Calypso, znana również jako Bronze Medley i Red Lamassu. Atakujący działa co najmniej od września 2016 roku i historycznie atakował instytucje rządowe i instytucjonalne w Brazylii, Indiach, Kazachstanie, Rosji, Tajlandii i Turcji. Publiczne doniesienia o tej grupie pojawiły się po raz pierwszy w 2019 roku w wyniku badań opublikowanych przez Positive Technologies.
Calypso wcześniej korzystało z rodzin złośliwego oprogramowania, takich jak PlugX, a także z backdoorów, takich jak WhiteBird i BYEBY. Złośliwe oprogramowanie BYEBY należy do większego klastra operacyjnego o nazwie Mikroceen, który został również powiązany z klastrem zagrożeń SixLittleMonkeys. Badacze zauważyli również podobieństwa taktyczne między SixLittleMonkeys a inną operacją powiązaną z Chinami, znaną jako Webworm.
Pojawienie się Showboat obok współdzielonych platform, takich jak PlugX, ShadowPad i NosyDoor, uwydatnia szerszy trend wśród aktorów cyberzagrożeń powiązanych z Chinami: ponowne wykorzystywanie i dystrybucję ofensywnych narzędzi cybernetycznych w wielu grupach szpiegowskich. Ten schemat silnie sugeruje istnienie scentralizowanego „cyfrowego kwatermistrza” odpowiedzialnego za dostarczanie złośliwego oprogramowania i zasobów operacyjnych operatorom wspieranym przez państwo.
Zaawansowane możliwości backdoorów Linuksa budzą poważne obawy
Dochodzenie rozpoczęło się po tym, jak badacze przeanalizowali plik binarny ELF przesłany w maju 2025 roku, który początkowo został sklasyfikowany jako wysoce zaawansowany backdoor Linuksa z funkcjonalnością podobną do rootkita. Próbka złośliwego oprogramowania jest również śledzona pod nazwą EvaRAT.
Chociaż dokładny wektor infekcji pozostaje nieznany, wcześniejsze włamania do Calypso polegały na wdrażaniu powłok internetowych ASPX po wykorzystaniu luk w zabezpieczeniach lub włamaniu się do domyślnych kont zdalnego dostępu. Grupa ta była również jednym z pierwszych chińskich cyberprzestępców, którzy wykorzystali lukę CVE-2021-26855, lukę w systemie Microsoft Exchange Server, która stanowiła początkowy etap niesławnego łańcucha ataków ProxyLogon.
Showboat został zaprojektowany do nawiązywania komunikacji ze zdalnymi serwerami C2, zbierania szczegółowych informacji systemowych i przesyłania zebranych danych w postaci zaszyfrowanej i zakodowanej w standardzie Base64, ukrytej w polach PNG. Szkodliwe oprogramowanie obsługuje również szereg funkcji ukrywania się i operacyjnych, w tym:
- Funkcjonalność przesyłania i pobierania plików
- Techniki ukrywania procesów
- Zarządzanie serwerem C2
- Skanowanie sieci wewnętrznej
- Tunelowanie proxy SOCKS5 dla ruchu bocznego
Aby uniknąć wykrycia na zainfekowanych hostach, Showboat pobiera fragment kodu z Pastebin, a badacze prześledzili hostowaną zawartość aż do 11 stycznia 2022 r. Analitycy uważają, że głównym celem złośliwego oprogramowania jest zapewnienie trwałego dostępu do sieci docelowych, w szczególności systemów odizolowanych od bezpośredniego dostępu do internetu i dostępnych wyłącznie za pośrednictwem wewnętrznych połączeń LAN.
Rozwijająca się infrastruktura ujawnia międzynarodowe ofiary
Dalsza analiza infrastruktury zagrożeń ujawniła liczne organizacje będące ofiarami ataków, działające w kilku regionach. Badacze zidentyfikowali dostawcę usług internetowych z siedzibą w Afganistanie oraz dodatkową, niezidentyfikowaną organizację z siedzibą w Azerbejdżanie. Dodatkowy klaster serwerów C2, współdzielących podobne certyfikaty X.509, również wskazał na potencjalne zagrożenia dla podmiotów w Stanach Zjednoczonych i na Ukrainie.
Ciągłe wdrażanie trwałych implantów złośliwego oprogramowania pokazuje, że pomimo coraz powszechniejszego stosowania przez wielu cyberprzestępców bardziej ukrytych technik „życia z ziemi”, zaawansowane grupy nadal w dużym stopniu polegają na niestandardowych tylnych drzwiach, aby uzyskać długoterminowy dostęp i kontrolę operacyjną. Eksperci ds. bezpieczeństwa ostrzegają, że wykrycie złośliwego oprogramowania, takiego jak Showboat, należy traktować jako krytyczny wskaźnik potencjalnie szerszego zagrożenia w zainfekowanych sieciach.
JFMBackdoor rozszerza kampanię poza systemy Linux
Oprócz Showboat, badacze zaobserwowali, że Calypso wdrażał w pełni funkcjonalny implant złośliwego oprogramowania dla systemu Windows, znany jako JFMBackdoor, podczas ataków na sektor telekomunikacyjny w Afganistanie. Szkodliwe oprogramowanie jest dostarczane poprzez boczne ładowanie bibliotek DLL, technikę wykorzystującą legalne aplikacje do ładowania złośliwych bibliotek DLL.
Łańcuch infekcji rozpoczyna się od skryptu wsadowego, który uruchamia zaufany plik wykonywalny, który następnie ładuje szkodliwy plik DLL. Po aktywacji JFMBackdoor zapewnia atakującym rozległą kontrolę operacyjną nad zainfekowanymi systemami. Jego funkcjonalność obejmuje:
- Zdalne wykonywanie powłoki
- Operacje zarządzania plikami
- Możliwości serwera proxy sieciowego
- Zrzut ekranu
- Mechanizmy samousuwania
Skupienie się na Afganistanie i jego infrastrukturze telekomunikacyjnej wpisuje się w szersze cele strategiczne, wcześniej kojarzone z operacjami Red Lamassu, co potwierdza ocenę, że kampania ta stanowi część większej akcji cybernetycznego szpiegostwa powiązanej z chińskimi zagrożeniami.
