Zlonamerna programska oprema Showboat
Raziskovalci kibernetske varnosti so odkrili prej nedokumentiran ogrodje zlonamerne programske opreme za Linux, znano kot Showboat, ki se aktivno uporablja proti ponudniku telekomunikacij na Bližnjem vzhodu vsaj od sredine leta 2022. Zlonamerna programska oprema deluje kot modularni komplet orodij po izkoriščanju, ki omogoča oddaljeni dostop do lupine, prenos datotek in deluje kot proxy SOCKS5 v ogroženih okoljih.
Varnostni analitiki menijo, da je zlonamerna programska oprema povezana z eno ali več skupinami groženj, povezanimi s Kitajsko. Preiskovalci so odkrili povezave med infrastrukturo poveljevanja in nadzora (C2) zlonamerne programske opreme in naslovi IP, ki jih je mogoče izslediti do Chengduja, glavnega mesta kitajske province Sečuan, kar je okrepilo sum o vpletenosti kitajske države.
Kazalo
Povezave z uveljavljenimi kitajskimi operacijami za boj proti grožnjam
Ena od skupin, povezanih z dejavnostjo, je Calypso, znana tudi kot Bronze Medley in Red Lamassu. Grožnjivec je aktiven vsaj od septembra 2016 in je v preteklosti ciljal na vladne in institucionalne subjekte v Braziliji, Indiji, Kazahstanu, Rusiji, Tajski in Turčiji. Javno poročanje o skupini se je prvič pojavilo leta 2019 v raziskavi, ki jo je objavilo podjetje Positive Technologies.
Calypso se je prej zanašal na družine zlonamerne programske opreme, kot je PlugX, skupaj z zadnjimi vrati, vključno z WhiteBird in BYEBY. Zlonamerna programska oprema BYEBY spada v večji operativni grozd, imenovan Mikroceen, ki je bil povezan tudi z grozdom groženj SixLittleMonkeys. Raziskovalci so nadalje opazili taktične podobnosti med SixLittleMonkeys in drugo operacijo, povezano s Kitajsko, znano kot Webworm.
Pojav Showboata skupaj z deljenimi ogrodji, kot so PlugX, ShadowPad in NosyDoor, poudarja širši trend med akterji groženj v povezavi s Kitajsko: ponovno uporabo in distribucijo ofenzivnih kibernetskih orodij med več vohunskimi skupinami. Ta vzorec močno kaže na obstoj centraliziranega "digitalnega intendanta", ki je odgovoren za oskrbo z zlonamerno programsko opremo in operativnimi viri državno podprtim operaterjem.
Napredne zmogljivosti zalednih vrat Linuxa vzbujajo resne pomisleke
Preiskava se je začela, potem ko so raziskovalci analizirali binarno datoteko ELF, naloženo maja 2025, ki je bila sprva opredeljena kot zelo napredna zadnja vrata za Linux s funkcionalnostjo, podobno rootkitu. Vzorec zlonamerne programske opreme je bil sledljiv tudi pod imenom EvaRAT.
Čeprav natančen vektor okužbe ostaja neznan, so prejšnji vdori Calypso vključevali namestitev spletnih lupin ASPX po izkoriščanju ranljivosti ali ogrožanju privzetih računov za oddaljeni dostop. Skupina je bila tudi med prvimi kitajskimi akterji groženj, ki so kot orožje uporabili CVE-2021-26855, napako v strežniku Microsoft Exchange Server, ki je bila začetna faza zloglasne verige izkoriščanja ProxyLogon.
Showboat je zasnovan tako, da vzpostavi komunikacijo z oddaljenimi strežniki C2, zbira podrobne sistemske informacije in prenaša zbrane podatke v šifrirani in Base64 kodirani obliki, skriti v poljih PNG. Zlonamerna programska oprema podpira tudi vrsto prikritih in operativnih funkcij, vključno z:
- Funkcionalnost nalaganja in prenosa datotek
- Tehnike prikrivanja procesov
- Upravljanje strežnikov C2
- Skeniranje notranjega omrežja
- SOCKS5 proxy tuneliranje za lateralno gibanje
Da bi se izognili odkrivanju na ogroženih gostiteljih, Showboat pridobi delček kode iz Pastebina, raziskovalci pa sledijo gostovani vsebini vse do 11. januarja 2022. Analitiki menijo, da je glavni cilj zlonamerne programske opreme zagotoviti trajen dostop znotraj ciljnih omrežij, zlasti do sistemov, ki so izolirani od neposredne izpostavljenosti internetu in dosegljivi le prek notranjih povezav LAN.
Širjenje infrastrukture razkriva mednarodne žrtve
Nadaljnji pregled infrastrukture groženj je razkril več žrtev, ki so se raztezale po več regijah. Raziskovalci so identificirali ponudnika internetnih storitev s sedežem v Afganistanu in dodatno neidentificirano organizacijo s sedežem v Azerbajdžanu. Sekundarna skupina strežnikov C2, ki si delijo podobna potrdila X.509, je prav tako pokazala na morebitne kompromise, ki vplivajo na subjekte v Združenih državah Amerike in Ukrajini.
Nadaljnje uvajanje vztrajnih vsadkov zlonamerne programske opreme kaže, da se kljub vse večji uporabi prikritih tehnik »preživetja od zemlje« s strani številnih akterjev grožnje napredne skupine še vedno močno zanašajo na prilagojena zadnja vrata za dolgoročen dostop in operativni nadzor. Varnostni strokovnjaki opozarjajo, da je treba odkritje zlonamerne programske opreme, kot je Showboat, obravnavati kot ključni kazalnik morebitne širše ogrožitve znotraj prizadetih omrežij.
JFMBackdoor širi kampanjo onkraj sistemov Linux
Poleg Showboata so raziskovalci opazili, da je Calypso med napadi, usmerjenimi v telekomunikacijski sektor v Afganistanu, nameščal polnopravni vsadek zlonamerne programske opreme za Windows, znan kot JFMBackdoor. Zlonamerna programska oprema se prenaša s stranskim nalaganjem DLL, tehniko, ki zlorablja legitimne aplikacije za nalaganje zlonamernih knjižnic dinamičnih povezav.
Veriga okužbe se začne s paketnim skriptom, ki zažene zaupanja vredno izvedljivo datoteko, ki nato naloži zlonamerno DLL-kodo. Ko je JFMBackdoor aktiven, napadalcem omogoča obsežen operativni nadzor nad ogroženimi sistemi. Njegova funkcionalnost vključuje:
- Izvajanje oddaljene lupine
- Operacije upravljanja datotek
- Zmogljivosti omrežnega proxyja
- Zajem zaslona
- Mehanizmi samoodstranitve
Osredotočenost na Afganistan in njegovo telekomunikacijsko infrastrukturo je tesno povezana s širšimi strateškimi cilji, ki so bili prej povezani z operacijami Red Lamassu, kar krepi ocene, da je kampanja del širšega kibernetskega vohunjenja, povezanega s kitajskimi grožnjami.
