Showboat Malware
Studiuesit e sigurisë kibernetike kanë zbuluar një kuadër keqdashës Linux të padokumentuar më parë, të njohur si Showboat, i cili është vendosur në mënyrë aktive kundër një ofruesi të telekomunikacionit në Lindjen e Mesme që të paktën nga mesi i vitit 2022. Malware funksionon si një set mjetesh modulare pas shfrytëzimit, i aftë të mundësojë akses në distancë në shell, transferimin e skedarëve dhe funksionimin si një proxy SOCKS5 brenda mjediseve të kompromentuara.
Analistët e sigurisë besojnë se programi keqdashës është i lidhur me një ose më shumë grupe kërcënimesh të lidhura me Kinën. Hetuesit identifikuan lidhje midis infrastrukturës së Komandës dhe Kontrollit (C2) të programit keqdashës dhe adresave IP të gjurmuara në Chengdu, kryeqytetin e provincës Sichuan të Kinës, duke forcuar dyshimet për përfshirje të sponsorizuar nga shteti kinez.
Tabela e Përmbajtjes
Lidhje me Operacionet e Kërcënimit të Ngritura të Lidhura me Kinën
Një nga grupet e lidhura me aktivitetin është Calypso, i njohur edhe si Bronze Medley dhe Red Lamassu. Aktori kërcënues ka qenë aktiv që të paktën nga shtatori 2016 dhe historikisht ka synuar subjekte qeveritare dhe institucionale në të gjithë Brazilin, Indinë, Kazakistanin, Rusinë, Tajlandën dhe Turqinë. Raportimi publik mbi grupin u shfaq për herë të parë në vitin 2019 përmes një hulumtimi të publikuar nga Positive Technologies.
Calypso më parë është mbështetur në familje programesh keqdashëse si PlugX, së bashku me programe të prapambetura që përfshijnë WhiteBird dhe BYEBY. Malware-i BYEBY i përket një klasteri më të madh operativ të quajtur Mikroceen, i cili është lidhur gjithashtu me klasterin e kërcënimeve SixLittleMonkeys. Studiuesit vunë re më tej ngjashmëri taktike midis SixLittleMonkeys dhe një operacioni tjetër të lidhur me Kinën, i njohur si Webworm.
Shfaqja e Showboat së bashku me kornizat e përbashkëta si PlugX, ShadowPad dhe NosyDoor nxjerr në pah një trend më të gjerë midis aktorëve kërcënues me lidhjen Kinë-Kinë: ripërdorimi dhe shpërndarja e mjeteve kibernetike sulmuese nëpër grupe të shumta spiunazhi. Ky model sugjeron fuqimisht ekzistencën e një 'intendenti dixhital' të centralizuar përgjegjës për furnizimin e programeve keqdashëse dhe burimeve operacionale për operatorët e mbështetur nga shteti.
Aftësitë e avancuara të derës së pasme të Linux-it ngrenë shqetësime serioze
Hetimi filloi pasi studiuesit analizuan një skedar binar ELF të ngarkuar në maj 2025, i cili fillimisht u kategorizua si një derë e pasme shumë e avancuar Linux me funksionalitet të ngjashëm me rootkit. Mostra e malware gjurmohet gjithashtu nën emrin EvaRAT.
Edhe pse vektori i saktë i infeksionit mbetet i panjohur, ndërhyrjet e mëparshme të Calypso kanë përfshirë vendosjen e shell-eve web ASPX pas shfrytëzimit të dobësive ose kompromentimit të llogarive të parazgjedhura me qasje në distancë. Grupi ishte gjithashtu ndër aktorët e parë kinezë të kërcënimit që e përdori si armë CVE-2021-26855, të metën e Microsoft Exchange Server që formoi fazën fillestare të zinxhirit famëkeq të shfrytëzimit ProxyLogon.
Showboat është projektuar për të vendosur komunikim me serverat e largët C2, për të mbledhur informacione të detajuara të sistemit dhe për të transmetuar të dhënat e mbledhura në formë të enkriptuar dhe të koduar me Base64, të fshehura brenda fushave PNG. Malware gjithashtu mbështet një gamë të gjerë veçorish të fshehta dhe operative, duke përfshirë:
- Funksionaliteti i ngarkimit dhe shkarkimit të skedarëve
- Teknikat e fshehjes së procesit
- Menaxhimi i serverit C2
- Skanimi i rrjetit të brendshëm
- Tunelim proxy SOCKS5 për lëvizje anësore
Për të shmangur zbulimin në hostet e kompromentuara, Showboat merr një fragment kodi nga Pastebin, me studiuesit që gjurmojnë përmbajtjen e hostuar që nga 11 janari 2022. Analistët besojnë se objektivi kryesor i malware është të sigurojë akses të vazhdueshëm brenda rrjeteve të synuara, veçanërisht sistemeve të izoluara nga ekspozimi i drejtpërdrejtë në internet dhe të arritshme vetëm përmes lidhjeve të brendshme LAN.
Zgjerimi i Infrastrukturës Zbulon Viktimat Ndërkombëtare
Ekzaminimi i mëtejshëm i infrastrukturës së kërcënimeve zbuloi organizata të shumta viktimash që shtriheshin në disa rajone. Studiuesit identifikuan një ofrues shërbimesh interneti me bazë në Afganistan dhe një organizatë tjetër të paidentifikuar të vendosur në Azerbajxhan. Një grumbull dytësor serverash C2 që ndanin certifikata të ngjashme X.509 gjithashtu tregoi për komprometime të mundshme që prekin subjektet në Shtetet e Bashkuara dhe Ukrainë.
Vendosja e vazhdueshme e implanteve të vazhdueshme të malware-it tregon se, pavarësisht përdorimit në rritje të teknikave më të fshehta të "jetesës nga toka" nga shumë aktorë kërcënimi, grupet e përparuara ende mbështeten shumë në "backdoors" të personalizuara për akses afatgjatë dhe kontroll operacional. Ekspertët e sigurisë paralajmërojnë se zbulimi i malware-it si Showboat duhet të trajtohet si një tregues kritik i një kompromisi potencialisht më të gjerë brenda rrjeteve të prekura.
JFMBackdoor zgjeron fushatën përtej sistemeve Linux
Përveç Showboat, studiuesit vunë re Calypso duke vendosur një implant të plotë të malware-it për Windows të njohur si JFMBackdoor gjatë sulmeve që synonin sektorin e telekomunikacionit në Afganistan. Malware-i shpërndahet përmes ngarkimit anësor të DLL-së, një teknikë që abuzon me aplikacionet legjitime për të ngarkuar libraritë e dëmshme të lidhjeve dinamike.
Zinxhiri i infeksionit fillon me një skript batch që nis një skedar ekzekutues të besueshëm, i cili më pas ngarkon ngarkesën e paligjshëm të DLL. Pasi të jetë aktiv, JFMBackdoor u ofron sulmuesve kontroll të gjerë operacional mbi sistemet e kompromentuara. Funksionaliteti i tij përfshin:
- Ekzekutimi i shell-it në distancë
Fokusi në Afganistan dhe infrastrukturën e tij të telekomunikacionit përputhet ngushtë me objektivat më të gjera strategjike të lidhura më parë me operacionet Red Lamassu, duke përforcuar vlerësimet se fushata është pjesë e një përpjekjeje më të madhe të spiunazhit kibernetik të lidhur me aktivitetin kërcënues kinez.
