Вредоносное ПО Showboat
Исследователи в области кибербезопасности обнаружили ранее не описанную вредоносную программу для Linux под названием Showboat, которая активно используется против телекоммуникационного провайдера на Ближнем Востоке как минимум с середины 2022 года. Вредоносная программа работает как модульный набор инструментов для постэксплуатации, способный обеспечивать удаленный доступ к командной оболочке, передавать файлы и функционировать в качестве прокси-сервера SOCKS5 в скомпрометированных средах.
Аналитики в области безопасности полагают, что вредоносное ПО связано с одним или несколькими кластерами угроз, связанных с Китаем. Следователи выявили связи между инфраструктурой управления и контроля (C2) вредоносного ПО и IP-адресами, отслеженными до Чэнду, столицы китайской провинции Сычуань, что усиливает подозрения в причастности китайского государства.
Оглавление
Связи с организованными преступными группировками, имеющими отношение к Китаю.
Одна из групп, связанных с этой деятельностью, — это Calypso, также известная как Bronze Medley и Red Lamassu. Эта группа злоумышленников действует как минимум с сентября 2016 года и исторически нацеливалась на правительственные и институциональные структуры в Бразилии, Индии, Казахстане, России, Таиланде и Турции. Первые сообщения об этой группе появились в 2019 году в результате исследования, опубликованного компанией Positive Technologies.
Ранее Calypso использовала такие семейства вредоносных программ, как PlugX, а также бэкдоры, включая WhiteBird и BYEBY. Вредоносная программа BYEBY принадлежит к более крупному операционному кластеру, известному как Mikroceen, который также связан с кластером угроз SixLittleMonkeys. Исследователи также отметили тактическое сходство между SixLittleMonkeys и другой операцией, связанной с Китаем, известной как Webworm.
Появление Showboat наряду с такими распространенными фреймворками, как PlugX, ShadowPad и NosyDoor, подчеркивает более широкую тенденцию среди субъектов, связанных с Китаем: повторное использование и распространение наступательных кибер-инструментов среди нескольких шпионских групп. Эта закономерность убедительно свидетельствует о существовании централизованного «цифрового интенданта», ответственного за поставку вредоносного ПО и оперативных ресурсов операторам, поддерживаемым государством.
Расширенные возможности бэкдоров в Linux вызывают серьезные опасения.
Расследование началось после того, как исследователи проанализировали загруженный в мае 2025 года ELF-файл, который первоначально был классифицирован как высокоразвитый бэкдор для Linux с функциональностью, аналогичной руткиту. Образец вредоносного ПО также отслеживается под именем EvaRAT.
Хотя точный вектор заражения остается неизвестным, предыдущие вторжения Calypso были связаны с развертыванием веб-оболочек ASPX после использования уязвимостей или компрометации учетных записей удаленного доступа по умолчанию. Эта группа также была одной из первых китайских киберпреступников, использовавших уязвимость CVE-2021-26855 в Microsoft Exchange Server, которая стала начальным этапом печально известной цепочки эксплойтов ProxyLogon.
Вредоносная программа Showboat разработана для установления связи с удаленными серверами управления и контроля (C2), сбора подробной информации о системе и передачи полученных данных в зашифрованном виде, закодированном в Base64, скрытом в полях PNG. Программа также поддерживает ряд функций скрытности и оперативного управления, включая:
- Функции загрузки и скачивания файлов
- методы сокрытия процесса
- управление сервером C2
- Сканирование внутренней сети
- Прокси-туннелирование SOCKS5 для горизонтального перемещения
Чтобы избежать обнаружения на скомпрометированных хостах, Showboat загружает фрагмент кода с Pastebin, и исследователи отслеживают размещенный контент до 11 января 2022 года. Аналитики полагают, что основная цель вредоносной программы — обеспечить постоянный доступ внутри целевых сетей, особенно к системам, изолированным от прямого доступа из интернета и доступным только через внутренние локальные сети.
Расширение инфраструктуры выявляет жертв из-за рубежа.
Дальнейшее изучение инфраструктуры угроз выявило множество организаций-жертв, расположенных в разных регионах. Исследователи идентифицировали интернет-провайдера из Афганистана и еще одну неустановленную организацию, расположенную в Азербайджане. Вторичная группа серверов управления и контроля, использующих схожие сертификаты X.509, также указывала на возможные компрометации, затрагивающие организации в США и Украине.
Продолжающееся внедрение вредоносных программ с устойчивым доступом демонстрирует, что, несмотря на растущее использование многими злоумышленниками более скрытных методов «жизни за счет ресурсов окружающей среды», продвинутые группы по-прежнему в значительной степени полагаются на специально созданные бэкдоры для долгосрочного доступа и оперативного контроля. Эксперты по безопасности предупреждают, что обнаружение таких вредоносных программ, как Showboat, следует рассматривать как критически важный индикатор потенциально более широкого компрометирования в затронутых сетях.
JFMBackdoor расширяет кампанию за пределы систем Linux.
Помимо Showboat, исследователи обнаружили, что Calypso использовала полнофункциональный вредоносный модуль для Windows, известный как JFMBackdoor, во время атак на телекоммуникационный сектор Афганистана. Вредоносная программа распространяется посредством установки DLL-библиотек с помощью сторонних источников (destination DLL side-loading), метода, позволяющего использовать легитимные приложения для загрузки вредоносных динамически подключаемых библиотек.
Цепочка заражения начинается с пакетного скрипта, который запускает доверенный исполняемый файл, который затем загружает вредоносную DLL-библиотеку. После активации JFMBackdoor предоставляет злоумышленникам обширный оперативный контроль над скомпрометированными системами. Его функциональность включает в себя:
- Удаленное выполнение командной оболочки
- операции управления файлами
- Возможности сетевого прокси
- Скриншот
- Механизмы самоудаления
Сосредоточение внимания на Афганистане и его телекоммуникационной инфраструктуре тесно согласуется с более широкими стратегическими целями, ранее связанными с операциями «Красный Ламассу», что подтверждает оценки того, что эта кампания является частью более масштабной кибершпионажной деятельности, связанной с угрозами со стороны Китая.
