షోబోట్ మాల్వేర్

సైబర్‌ సెక్యూరిటీ పరిశోధకులు షోబోట్ అని పిలువబడే, ఇంతకుముందు ఎక్కడా నమోదుకాని ఒక లైనక్స్ మాల్వేర్ ఫ్రేమ్‌వర్క్‌ను కనుగొన్నారు. ఇది కనీసం 2022 మధ్యకాలం నుండి మధ్యప్రాచ్యంలోని ఒక టెలికమ్యూనికేషన్స్ ప్రొవైడర్‌పై చురుకుగా ప్రయోగించబడుతోంది. ఈ మాల్వేర్, హ్యాక్ చేయబడిన పరిసరాలలో రిమోట్ షెల్ యాక్సెస్‌ను కల్పించడం, ఫైళ్లను బదిలీ చేయడం, మరియు SOCKS5 ప్రాక్సీగా పనిచేయగల ఒక మాడ్యులర్ పోస్ట్-ఎక్స్‌ప్లాయిటేషన్ టూల్‌కిట్‌గా పనిచేస్తుంది.

ఈ మాల్వేర్ ఒకటి లేదా అంతకంటే ఎక్కువ చైనా సంబంధిత ముప్పు సమూహాలతో ముడిపడి ఉందని భద్రతా విశ్లేషకులు భావిస్తున్నారు. చైనాలోని సిచువాన్ ప్రావిన్స్ రాజధాని అయిన చెంగ్డూకు చెందిన ఐపీ చిరునామాలకు, ఈ మాల్వేర్ యొక్క కమాండ్-అండ్-కంట్రోల్ (C2) మౌలిక సదుపాయాలకు మధ్య సంబంధాలను దర్యాప్తు అధికారులు గుర్తించారు. ఇది చైనా ప్రభుత్వ ప్రాయోజిత ప్రమేయంపై అనుమానాలను బలపరుస్తోంది.

స్థాపించబడిన చైనా-సంబంధిత ముప్పు కార్యకలాపాలకు సంబంధాలు

ఈ కార్యకలాపాలతో సంబంధం ఉన్న సమూహాలలో ఒకటి కాలిప్సో, దీనిని బ్రాంజ్ మెడ్లీ మరియు రెడ్ లమాస్సు అని కూడా పిలుస్తారు. ఈ ముప్పు కలిగించే సంస్థ కనీసం సెప్టెంబర్ 2016 నుండి చురుకుగా ఉంది మరియు చారిత్రాత్మకంగా బ్రెజిల్, భారతదేశం, కజకిస్తాన్, రష్యా, థాయిలాండ్ మరియు టర్కీ అంతటా ప్రభుత్వ మరియు సంస్థాగత సంస్థలను లక్ష్యంగా చేసుకుంది. పాజిటివ్ టెక్నాలజీస్ ప్రచురించిన పరిశోధన ద్వారా 2019లో ఈ సమూహంపై బహిరంగ నివేదిక మొదటిసారిగా వెలుగులోకి వచ్చింది.

కాలిప్సో గతంలో ప్లగ్‌ఎక్స్ వంటి మాల్వేర్ కుటుంబాలతో పాటు, వైట్‌బర్డ్ మరియు బైబై వంటి బ్యాక్‌డోర్‌లపై ఆధారపడింది. బైబై మాల్వేర్ మైక్రోసీన్ అని పిలువబడే ఒక పెద్ద కార్యాచరణ సమూహానికి చెందినది, దీనికి సిక్స్‌లిటిల్‌మంకీస్ ముప్పు సమూహంతో కూడా సంబంధం ఉంది. సిక్స్‌లిటిల్‌మంకీస్‌కు మరియు వెబ్‌వార్మ్ అని పిలువబడే చైనాతో పొత్తు ఉన్న మరో ఆపరేషన్‌కు మధ్య వ్యూహాత్మక సారూప్యతలను పరిశోధకులు ఇంకా గుర్తించారు.

ప్లగ్‌ఎక్స్, షాడోప్యాడ్ మరియు నోసీడోర్ వంటి ఉమ్మడి ఫ్రేమ్‌వర్క్‌లతో పాటు షోబోట్ కనిపించడం, చైనా-సంబంధిత ముప్పు కలిగించే శక్తుల మధ్య ఒక విస్తృత ధోరణిని స్పష్టం చేస్తుంది: అదేమిటంటే, అనేక గూఢచార బృందాల మధ్య దాడి చేసే సైబర్ సాధనాలను తిరిగి ఉపయోగించడం మరియు పంపిణీ చేయడం. ఈ నమూనా, ప్రభుత్వ మద్దతు ఉన్న ఆపరేటర్లకు మాల్‌వేర్ మరియు కార్యాచరణ వనరులను సరఫరా చేయడానికి బాధ్యత వహించే ఒక కేంద్రీకృత 'డిజిటల్ క్వార్టర్‌మాస్టర్' ఉనికిని బలంగా సూచిస్తుంది.

అధునాతన లినక్స్ బ్యాక్‌డోర్ సామర్థ్యాలు తీవ్ర ఆందోళనలను రేకెత్తిస్తున్నాయి

మే 2025లో అప్‌లోడ్ చేయబడిన ఒక ELF బైనరీని పరిశోధకులు విశ్లేషించిన తర్వాత ఈ దర్యాప్తు ప్రారంభమైంది. దీనిని మొదట్లో రూట్‌కిట్ లాంటి కార్యాచరణతో కూడిన అత్యంత అధునాతన లైనక్స్ బ్యాక్‌డోర్‌గా వర్గీకరించారు. ఈ మాల్వేర్ నమూనాను EvaRAT అనే పేరుతో కూడా ట్రాక్ చేస్తున్నారు.

సంక్రమణ యొక్క ఖచ్చితమైన మార్గం ఇంకా తెలియకపోయినప్పటికీ, గతంలో జరిగిన కాలిప్సో చొరబాట్లలో, బలహీనతలను ఉపయోగించుకోవడం లేదా డిఫాల్ట్ రిమోట్-యాక్సెస్ ఖాతాలను హ్యాక్ చేయడం ద్వారా ASPX వెబ్ షెల్స్‌ను మోహరించడం జరిగింది. అపఖ్యాతి పాలైన ప్రాక్సీలాగన్ ఎక్స్‌ప్లాయిట్ చైన్‌కు తొలి దశగా నిలిచిన మైక్రోసాఫ్ట్ ఎక్స్ఛేంజ్ సర్వర్ లోపమైన CVE-2021-26855ను ఆయుధంగా ఉపయోగించిన తొలి చైనీస్ ముప్పు కారకాలలో ఈ బృందం కూడా ఒకటి.

రిమోట్ C2 సర్వర్‌లతో కమ్యూనికేషన్‌ను ఏర్పాటు చేయడానికి, వివరణాత్మక సిస్టమ్ సమాచారాన్ని సేకరించడానికి, మరియు సేకరించిన డేటాను ఎన్‌క్రిప్ట్ చేసి, బేస్64-ఎన్‌కోడ్ చేసిన రూపంలో PNG ఫీల్డ్‌లలో దాచి, ప్రసారం చేయడానికి షోబోట్ రూపొందించబడింది. ఈ మాల్వేర్ కింది వాటితో సహా అనేక రకాల రహస్య మరియు కార్యాచరణ ఫీచర్‌లకు కూడా మద్దతు ఇస్తుంది:

• ఫైల్ అప్‌లోడ్ మరియు డౌన్‌లోడ్ కార్యాచరణ
• ప్రక్రియ దాచిపెట్టే పద్ధతులు
• C2 సర్వర్ నిర్వహణ
• అంతర్గత నెట్‌వర్క్ స్కానింగ్
• పార్శ్వ కదలిక కోసం SOCKS5 ప్రాక్సీ టన్నెలింగ్

హ్యాకర్ అయిన హోస్ట్‌లలో పట్టుబడకుండా తప్పించుకోవడానికి, షోబోట్ పేస్ట్‌బిన్ నుండి ఒక కోడ్ స్నిప్పెట్‌ను పొందుతుంది, పరిశోధకులు ఆ హోస్ట్ చేసిన కంటెంట్‌ను జనవరి 11, 2022 నాటిదిగా గుర్తించారు. ఈ మాల్వేర్ యొక్క ప్రాథమిక లక్ష్యం, లక్షిత నెట్‌వర్క్‌లలో, ముఖ్యంగా ప్రత్యక్ష ఇంటర్నెట్ సదుపాయం నుండి వేరుచేసి, అంతర్గత LAN కనెక్షన్‌ల ద్వారా మాత్రమే చేరుకోగల సిస్టమ్‌లలో నిరంతర ప్రాప్యతను పొందడమేనని విశ్లేషకులు భావిస్తున్నారు.

మౌలిక సదుపాయాల విస్తరణ అంతర్జాతీయ బాధితులను వెల్లడిస్తోంది

ముప్పు మౌలిక సదుపాయాలను మరింతగా పరిశీలించగా, అనేక ప్రాంతాలకు చెందిన పలు బాధితుల సంస్థలు బయటపడ్డాయి. పరిశోధకులు ఆఫ్ఘనిస్తాన్‌కు చెందిన ఒక ఇంటర్నెట్ సర్వీస్ ప్రొవైడర్‌ను, అజర్‌బైజాన్‌లో ఉన్న మరో గుర్తుతెలియని సంస్థను గుర్తించారు. ఒకే రకమైన X.509 సర్టిఫికేట్‌లను పంచుకుంటున్న C2 సర్వర్‌ల యొక్క రెండవ క్లస్టర్ కూడా, యునైటెడ్ స్టేట్స్ మరియు ఉక్రెయిన్‌లోని సంస్థలను ప్రభావితం చేసే సంభావ్య రాజీలను సూచించింది.

చాలా మంది ముప్పు కలిగించేవారు రహస్యమైన 'లివింగ్ ఆఫ్ ది ల్యాండ్' పద్ధతులను ఎక్కువగా ఉపయోగిస్తున్నప్పటికీ, దీర్ఘకాలిక యాక్సెస్ మరియు కార్యాచరణ నియంత్రణ కోసం అధునాతన బృందాలు ఇప్పటికీ కస్టమ్ బ్యాక్‌డోర్‌లపై ఎక్కువగా ఆధారపడుతున్నాయని, నిరంతర మాల్వేర్ ఇంప్లాంట్‌ల విస్తరణ స్పష్టం చేస్తోంది. షోబోట్ వంటి మాల్వేర్‌ను కనుగొనడాన్ని, ప్రభావిత నెట్‌వర్క్‌లలో సంభావ్యంగా విస్తృత స్థాయిలో రాజీ పడటానికి ఒక కీలక సూచికగా పరిగణించాలని భద్రతా నిపుణులు హెచ్చరిస్తున్నారు.

JFMackdoor లినక్స్ సిస్టమ్‌లకు మించి ప్రచారాన్ని విస్తరిస్తోంది

షోబోట్‌తో పాటు, ఆఫ్ఘనిస్తాన్ టెలికమ్యూనికేషన్స్ రంగాన్ని లక్ష్యంగా చేసుకున్న దాడుల సమయంలో కాలిప్సో, JFMBackdoor అని పిలువబడే పూర్తిస్థాయి విండోస్ మాల్వేర్ ఇంప్లాంట్‌ను ప్రయోగించడాన్ని పరిశోధకులు గమనించారు. ఈ మాల్వేర్ DLL సైడ్-లోడింగ్ ద్వారా పంపిణీ చేయబడుతుంది. ఇది హానికరమైన డైనమిక్-లింక్ లైబ్రరీలను లోడ్ చేయడానికి చట్టబద్ధమైన అప్లికేషన్‌లను దుర్వినియోగం చేసే ఒక పద్ధతి.

ఈ ఇన్ఫెక్షన్ గొలుసు ఒక బ్యాచ్ స్క్రిప్ట్‌తో మొదలవుతుంది, ఇది ఒక విశ్వసనీయమైన ఎగ్జిక్యూటబుల్‌ను ప్రారంభిస్తుంది, అది తదనంతరం హానికరమైన DLL పేలోడ్‌ను లోడ్ చేస్తుంది. ఒకసారి క్రియాశీలమైన తర్వాత, JFMBackdoor దాడి చేసేవారికి రాజీపడిన సిస్టమ్‌లపై విస్తృతమైన కార్యాచరణ నియంత్రణను అందిస్తుంది. దీని కార్యాచరణలో ఇవి ఉంటాయి:

• రిమోట్ షెల్ ఎగ్జిక్యూషన్

ఆఫ్ఘనిస్తాన్ మరియు దాని టెలికమ్యూనికేషన్ల మౌలిక సదుపాయాలపై దృష్టి సారించడం అనేది, గతంలో రెడ్ లమాస్సు కార్యకలాపాలతో ముడిపడి ఉన్న విస్తృత వ్యూహాత్మక లక్ష్యాలతో దగ్గరగా సరిపోలుతోంది. ఈ చర్య, చైనా ముప్పు కార్యకలాపాలతో ముడిపడి ఉన్న ఒక పెద్ద సైబర్-గూఢచర్య ప్రయత్నంలో భాగమనే అంచనాలను ఇది బలపరుస్తోంది.