Злонамерни софтвер Showboat
Истраживачи сајбер безбедности открили су раније недокументовани систем злонамерног софтвера за Линукс познат као Showboat, који је активно примењен против телекомуникационог провајдера на Блиском истоку најмање од средине 2022. године. Злонамерни софтвер функционише као модуларни комплет алата након експлоатације, способан да омогући удаљени приступ љусци, пренос датотека и функционише као SOCKS5 прокси у угроженим окружењима.
Безбедносни аналитичари верују да је злонамерни софтвер повезан са једним или више кластера претњи повезаних са Кином. Истражитељи су идентификовали везе између инфраструктуре командовања и контроле (C2) злонамерног софтвера и ИП адреса које воде до Ченгдуа, главног града кинеске провинције Сечуан, што је појачало сумње о умешаности кинеске државе.
Преглед садржаја
Везе са успостављеним операцијама претњи повезаним са Кином
Једна од група повезаних са овом активношћу је Calypso, такође позната као Bronze Medley и Red Lamassu. Овај претња је активан најмање од септембра 2016. године и историјски је циљао владине и институционалне ентитете широм Бразила, Индије, Казахстана, Русије, Тајланда и Турске. Јавни извештаји о групи први пут су се појавили 2019. године кроз истраживање које је објавила компанија Positive Technologies.
Калипсо се раније ослањао на породице злонамерних програма као што је PlugX, заједно са задњим вратима, укључујући WhiteBird и BYEBY. Злонамерни софтвер BYEBY припада већем оперативном кластеру под називом Mikroceen, који је такође повезан са кластером претњи SixLittleMonkeys. Истраживачи су додатно приметили тактичке сличности између SixLittleMonkeys и друге операције повезане са Кином, познате као Webworm.
Појава Showboat-а поред заједничких оквира као што су PlugX, ShadowPad и NosyDoor истиче шири тренд међу актерима претњи у вези са Кином: поновна употреба и дистрибуција офанзивних сајбер алата међу више шпијунских група. Овај образац снажно указује на постојање централизованог „дигиталног интенданта“ одговорног за снабдевање малвером и оперативним ресурсима оператерима које подржава држава.
Напредне могућности заштитних врата у Линуксу изазивају озбиљну забринутост
Истрага је почела након што су истраживачи анализирали ELF бинарни фајл отпремљен у мају 2025. године, који је првобитно категорисан као веома напредни Linux бекдор са функционалношћу сличном руткиту. Узорак злонамерног софтвера се такође прати под именом EvaRAT.
Иако прецизан вектор инфекције остаје непознат, претходни упади Calypso-а су укључивали распоређивање ASPX веб шкољки након искоришћавања рањивости или угрожавања подразумеваних налога за удаљени приступ. Група је такође била међу најранијим кинеским актерима претње који су оружје искористили CVE-2021-26855, пропуст Microsoft Exchange Server-а који је чинио почетну фазу озлоглашеног ланца експлоатације ProxyLogon.
Шоубоут је пројектован да успостави комуникацију са удаљеним C2 серверима, прикупља детаљне системске информације и преноси прикупљене податке у шифрованом и Base64-кодираном облику скривеном унутар PNG поља. Злонамерни софтвер такође подржава низ прикривених и оперативних функција, укључујући:
- Функционалност отпремања и преузимања датотека
- Технике прикривања процеса
- Управљање C2 сервером
- Скенирање интерне мреже
- SOCKS5 прокси тунелирање за бочно кретање
Да би избегао откривање на компромитованим хостовима, Showboat преузима исечак кода из Pastebin-а, а истраживачи прате хостовани садржај до 11. јануара 2022. Аналитичари верују да је примарни циљ злонамерног софтвера обезбеђивање сталног приступа унутар циљаних мрежа, посебно система изолованих од директног излагања интернету и доступних само путем интерних LAN веза.
Ширење инфраструктуре открива међународне жртве
Даљим испитивањем инфраструктуре претњи откривено је више организација жртава које се простиру у неколико региона. Истраживачи су идентификовали интернет провајдера са седиштем у Авганистану и додатну неидентификовану организацију која се налази у Азербејџану. Секундарни кластер C2 сервера који деле сличне X.509 сертификате такође је указао на могуће компромисе који погађају ентитете у Сједињеним Државама и Украјини.
Континуирано постављање имплантата упорног злонамерног софтвера показује да, упркос све већој употреби прикривенијих техника „живљења од земље“ од стране многих претњи, напредне групе се и даље у великој мери ослањају на прилагођене задње улазе за дугорочни приступ и оперативну контролу. Безбедносни стручњаци упозоравају да откриће злонамерног софтвера као што је Showboat треба третирати као критични индикатор потенцијално ширег компромитовања унутар погођених мрежа.
JFMBackdoor проширује кампању изван Linux система
Поред Шоубоута, истраживачи су приметили да је Калипсо током напада усмерених на телекомуникациони сектор Авганистана применио потпуно функционалан имплант злонамерног софтвера за Windows познат као JFMBackdoor. Злонамерни софтвер се испоручује путем бочног учитавања DLL-а, технике која злоупотребљава легитимне апликације за учитавање злонамерних динамичких библиотека.
Ланац инфекције почиње пакетном скриптом која покреће поуздану извршну датотеку, која потом учитава лажни DLL пакет. Једном активан, JFMBackdoor пружа нападачима опсежну оперативну контролу над угроженим системима. Његова функционалност укључује:
- Извршавање удаљене шкољке
- Операције управљања датотекама
- Могућности мрежног проксија
- Снимање екрана
- Механизми самоуклањања
Фокус на Авганистан и његову телекомуникациону инфраструктуру уско је у складу са ширим стратешким циљевима који су раније били повезани са операцијама „Црвени Ламасу“, појачавајући процене да је кампања део већег напора сајбер шпијунаже повезаног са кинеским претећим активностима.
