Škodlivý softvér Showboat
Výskumníci v oblasti kybernetickej bezpečnosti odhalili doteraz nezdokumentovaný systém malvéru pre Linux známy ako Showboat, ktorý bol aktívne nasadený proti poskytovateľovi telekomunikačných služieb na Blízkom východe minimálne od polovice roka 2022. Malvér funguje ako modulárna sada nástrojov po zneužití, ktorá umožňuje vzdialený prístup k shellu, prenos súborov a funguje ako proxy SOCKS5 v napadnutých prostrediach.
Bezpečnostní analytici sa domnievajú, že malvér je prepojený s jedným alebo viacerými klastrami hrozieb spojenými s Čínou. Vyšetrovatelia identifikovali prepojenia medzi infraštruktúrou velenia a riadenia (C2) malvéru a IP adresami vedúcimi do Čcheng-tu, hlavného mesta čínskej provincie S'-čchuan, čo posilňuje podozrenia zo zapojenia čínskeho štátu.
Obsah
Prepojenia na zavedené operácie s hrozbami prepojené s Čínou
Jednou zo skupín spojených s touto aktivitou je Calypso, známa aj ako Bronze Medley a Red Lamassu. Tento útočník je aktívny minimálne od septembra 2016 a v minulosti sa zameriaval na vládne a inštitucionálne subjekty v Brazílii, Indii, Kazachstane, Rusku, Thajsku a Turecku. Verejné správy o skupine sa prvýkrát objavili v roku 2019 prostredníctvom výskumu publikovaného spoločnosťou Positive Technologies.
Spoločnosť Calypso sa v minulosti spoliehala na rodiny malvéru ako PlugX, spolu so zadnými vrátkami vrátane WhiteBird a BYEBY. Malvér BYEBY patrí do väčšieho operačného klastra s názvom Mikroceen, ktorý bol tiež spojený s hroziebným klastrom SixLittleMonkeys. Výskumníci ďalej zaznamenali taktické podobnosti medzi SixLittleMonkeys a ďalšou operáciou spojenou s Čínou známou ako Webworm.
Objavenie sa Showboatu spolu so zdieľanými frameworkami, ako sú PlugX, ShadowPad a NosyDoor, zdôrazňuje širší trend medzi aktérmi hrozieb v rámci čínskeho prepojenia: opätovné používanie a distribúcia útočných kybernetických nástrojov medzi viacerými špionážnymi skupinami. Tento vzorec silne naznačuje existenciu centralizovaného „digitálneho intendanta“ zodpovedného za dodávanie malvéru a operačných zdrojov štátom podporovaným operátorom.
Pokročilé možnosti backdoorov v systéme Linux vyvolávajú vážne obavy
Vyšetrovanie sa začalo po tom, čo výskumníci analyzovali binárny súbor ELF nahraný v máji 2025, ktorý bol pôvodne klasifikovaný ako vysoko pokročilý backdoor pre Linux s funkciami podobnými rootkitom. Vzorka malvéru je tiež sledovaná pod názvom EvaRAT.
Hoci presný vektor infekcie zostáva neznámy, predchádzajúce útoky Calypso zahŕňali nasadenie webových shellov ASPX po zneužití zraniteľností alebo kompromitovaní predvolených účtov vzdialeného prístupu. Skupina bola tiež medzi prvými čínskymi aktérmi hrozby, ktorí ako zbraň využili chybu CVE-2021-26855, chybu servera Microsoft Exchange, ktorá tvorila počiatočnú fázu notoricky známeho reťazca zneužití ProxyLogon.
Škodlivý softvér Showboat je navrhnutý tak, aby nadviazal komunikáciu so vzdialenými servermi C2, zhromažďoval podrobné systémové informácie a prenášal zozbierané údaje v šifrovanej forme kódovanej pomocou Base64, skrytej v poliach PNG. Malvér tiež podporuje celý rad skrytých a operačných funkcií vrátane:
- Funkcia nahrávania a sťahovania súborov
- Techniky skrytia procesov
- Správa C2 serverov
- Skenovanie internej siete
- Proxy tunelovanie SOCKS5 pre laterálny pohyb
Aby sa Showboat vyhol odhaleniu na napadnutých hostiteľoch, získal úryvok kódu z Pastebinu, pričom výskumníci sledovali hostovaný obsah až do 11. januára 2022. Analytici sa domnievajú, že hlavným cieľom malvéru je zabezpečiť trvalý prístup v rámci cieľových sietí, najmä systémov izolovaných od priameho vystavenia internetu a dostupných iba prostredníctvom interných pripojení LAN.
Rozširujúca sa infraštruktúra odhaľuje medzinárodné obete
Ďalšie skúmanie infraštruktúry hrozieb odhalilo viacero obetí v niekoľkých regiónoch. Výskumníci identifikovali poskytovateľa internetových služieb so sídlom v Afganistane a ďalšiu neidentifikovanú organizáciu so sídlom v Azerbajdžane. Sekundárny klaster serverov C2 zdieľajúcich podobné certifikáty X.509 tiež poukázal na možné kompromitácie postihujúce subjekty v Spojených štátoch a na Ukrajine.
Pokračujúce nasadzovanie perzistentných implantátov malvéru dokazuje, že napriek rastúcemu využívaniu nenápadných techník „žijúcich zo zeme“ mnohými aktérmi hrozby sa pokročilé skupiny stále vo veľkej miere spoliehajú na vlastné zadné vrátka pre dlhodobý prístup a operačnú kontrolu. Bezpečnostní experti varujú, že objavenie malvéru, ako je Showboat, by sa malo považovať za kritický indikátor potenciálne širšej kompromitácie v postihnutých sieťach.
JFMBackdoor rozširuje kampaň za hranice Linuxových systémov
Okrem útoku Showboat výskumníci pozorovali, že Calypso počas útokov zameraných na telekomunikačný sektor v Afganistane nasadilo plne funkčný malvér pre Windows známy ako JFMBackdoor. Malvér sa šíri prostredníctvom bočného načítavania DLL, čo je technika, ktorá zneužíva legitímne aplikácie na načítanie škodlivých dynamických knižníc.
Reťazec infekcie začína dávkovým skriptom, ktorý spustí dôveryhodný spustiteľný súbor, ktorý následne načíta falošnú knižnicu DLL. Po aktivácii poskytuje JFMBackdoor útočníkom rozsiahlu operačnú kontrolu nad napadnutými systémami. Jeho funkcie zahŕňajú:
- Vzdialené spustenie shellu
- Operácie správy súborov
- Možnosti sieťového proxy servera
- Zachytenie obrazovky
- Mechanizmy samoodstránenia
Zameranie na Afganistan a jeho telekomunikačnú infraštruktúru úzko súvisí so širšími strategickými cieľmi, ktoré boli predtým spojené s operáciami Red Lamassu, čo posilňuje hodnotenia, že kampaň je súčasťou väčšieho úsilia o kybernetickú špionáž spojeného s čínskou hrozbou.
