Malware ng Showboat

Natuklasan ng mga mananaliksik sa cybersecurity ang isang dating hindi dokumentadong Linux malware framework na kilala bilang Showboat, na aktibong ipinakalat laban sa isang telecommunications provider sa Gitnang Silangan simula pa noong kalagitnaan ng 2022. Ang malware ay gumagana bilang isang modular post-exploitation toolkit na may kakayahang paganahin ang remote shell access, maglipat ng mga file, at gumana bilang isang SOCKS5 proxy sa loob ng mga nakompromisong kapaligiran.

Naniniwala ang mga security analyst na ang malware ay konektado sa isa o higit pang mga threat cluster na nauugnay sa Tsina. Natukoy ng mga imbestigador ang mga koneksyon sa pagitan ng Command-and-Control (C2) infrastructure ng malware at mga IP address na maaaring masubaybayan sa Chengdu, ang kabisera ng lalawigan ng Sichuan sa Tsina, na nagpapalakas sa mga hinala ng pagkakasangkot na inisponsor ng estado ng Tsina.

Mga Koneksyon sa mga Itinatag na Operasyon ng Banta na May Kaugnayan sa Tsina

Isa sa mga grupong nauugnay sa aktibidad ay ang Calypso, na kilala rin bilang Bronze Medley at Red Lamassu. Ang aktor ng banta ay aktibo simula pa noong Setyembre 2016 at matagal nang tinatarget ang mga entidad ng gobyerno at institusyon sa buong Brazil, India, Kazakhstan, Russia, Thailand, at Turkey. Ang pampublikong pag-uulat tungkol sa grupo ay unang lumitaw noong 2019 sa pamamagitan ng pananaliksik na inilathala ng Positive Technologies.

Dati nang umasa ang Calypso sa mga pamilya ng malware tulad ng PlugX, kasama ang mga backdoor kabilang ang WhiteBird at BYEBY. Ang BYEBY malware ay kabilang sa isang mas malaking operational cluster na tinutukoy bilang Mikroceen, na naiugnay din sa SixLittleMonkeys threat cluster. Nabanggit din ng mga mananaliksik ang mga taktikal na pagkakatulad sa pagitan ng SixLittleMonkeys at isa pang operasyon na kaalyado ng Tsina na kilala bilang Webworm.

Ang paglitaw ng Showboat kasama ang mga ibinahaging framework tulad ng PlugX, ShadowPad, at NosyDoor ay nagpapakita ng mas malawak na trend sa mga aktor ng banta na gumagamit ng China-nexus: ang muling paggamit at pamamahagi ng mga nakakasakit na cyber tool sa maraming grupo ng espiya. Ang pattern na ito ay mariing nagmumungkahi ng pagkakaroon ng isang sentralisadong 'digital quartermaster' na responsable sa pagbibigay ng malware at mga mapagkukunang pang-operasyon sa mga operator na sinusuportahan ng estado.

Ang mga Advanced na Kakayahan sa Backdoor ng Linux ay Nagdudulot ng Seryosong mga Alalahanin

Nagsimula ang imbestigasyon matapos suriin ng mga mananaliksik ang isang ELF binary na na-upload noong Mayo 2025 na unang ikinategorya bilang isang mataas na advanced na Linux backdoor na may functionality na parang rootkit. Ang sample ng malware ay sinusubaybayan din sa ilalim ng pangalang EvaRAT.

Bagama't nananatiling hindi alam ang eksaktong sanhi ng impeksyon, ang mga nakaraang panghihimasok sa Calypso ay kinasangkutan ng pag-deploy ng mga ASPX web shell matapos gamitin ang mga kahinaan o ikompromiso ang mga default na remote-access account. Ang grupo ay kabilang din sa mga pinakaunang aktor ng banta ng Tsina na gumamit ng CVE-2021-26855, ang depekto sa Microsoft Exchange Server na bumuo sa unang yugto ng kilalang-kilalang ProxyLogon exploit chain.

Ang Showboat ay dinisenyo upang magtatag ng komunikasyon sa mga remote C2 server, mangolekta ng detalyadong impormasyon ng system, at ipadala ang nakuha na data sa naka-encrypt at Base64-encoded na anyo na nakatago sa loob ng mga PNG field. Sinusuportahan din ng malware ang iba't ibang stealth at operational features, kabilang ang:

• Pag-andar ng pag-upload at pag-download ng file
• Mga pamamaraan ng pagtatago ng proseso
• Pamamahala ng C2 server
• Panloob na pag-scan ng network
• SOCKS5 proxy tunneling para sa lateral movement

Upang maiwasan ang pagtuklas sa mga nakompromisong host, kinukuha ng Showboat ang isang snippet ng code mula sa Pastebin, kung saan sinusubaybayan ng mga mananaliksik ang naka-host na nilalaman pabalik sa Enero 11, 2022. Naniniwala ang mga analyst na ang pangunahing layunin ng malware ay upang ma-secure ang patuloy na pag-access sa loob ng mga naka-target na network, lalo na ang mga system na nakahiwalay sa direktang pagkakalantad sa internet at maaabot lamang sa pamamagitan ng mga internal na koneksyon sa LAN.

Ang Pagpapalawak ng Imprastraktura ay Nagpapakita ng mga Biktima sa Internasyonal

Ang karagdagang pagsusuri sa imprastraktura ng banta ay natuklasan ang maraming organisasyon ng biktima na sumasaklaw sa ilang rehiyon. Natukoy ng mga mananaliksik ang isang internet service provider na nakabase sa Afghanistan at isang karagdagang hindi nakikilalang organisasyon na matatagpuan sa Azerbaijan. Ang isang pangalawang kumpol ng mga C2 server na nagbabahagi ng magkatulad na mga sertipiko ng X.509 ay nagturo rin sa mga posibleng kompromiso na nakakaapekto sa mga entidad sa Estados Unidos at Ukraine.

Ang patuloy na pag-deploy ng mga persistent malware implants ay nagpapakita na, sa kabila ng lumalaking paggamit ng mas palihim na mga pamamaraan ng 'pamumuhay mula sa lupa' ng maraming aktor ng banta, ang mga advanced na grupo ay lubos pa ring umaasa sa mga custom na backdoor para sa pangmatagalang pag-access at kontrol sa operasyon. Nagbabala ang mga eksperto sa seguridad na ang pagtuklas ng malware tulad ng Showboat ay dapat ituring bilang isang kritikal na indikasyon ng potensyal na mas malawak na kompromiso sa loob ng mga apektadong network.

Pinalalawak ng JFMBackdoor ang Kampanya Higit Pa sa mga Sistema ng Linux

Bukod sa Showboat, naobserbahan din ng mga mananaliksik ang Calypso na nagde-deploy ng isang ganap na tampok na Windows malware implant na kilala bilang JFMBackdoor sa panahon ng mga pag-atake na tumatarget sa sektor ng telekomunikasyon ng Afghanistan. Ang malware ay inihahatid sa pamamagitan ng DLL side-loading, isang pamamaraan na umaabuso sa mga lehitimong application upang mag-load ng mga malisyosong dynamic-link library.

Ang kadena ng impeksyon ay nagsisimula sa isang batch script na naglulunsad ng isang mapagkakatiwalaang executable, na kasunod na naglo-load ng rogue DLL payload. Kapag aktibo na, ang JFMBackdoor ay nagbibigay sa mga attacker ng malawak na kontrol sa operasyon sa mga nakompromisong sistema. Kabilang sa mga functionality nito ang:

• Malayuang pagpapatupad ng shell
• Mga operasyon sa pamamahala ng file

• Mga kakayahan sa proxy ng network

• Pagkuha ng screenshot

• Mga mekanismo ng pag-aalis nang kusa

Ang pokus sa Afghanistan at sa imprastraktura ng telekomunikasyon nito ay malapit na naaayon sa mas malawak na mga layuning estratehiko na dating nauugnay sa mga operasyon ng Red Lamassu, na nagpapatibay sa mga pagtatasa na ang kampanya ay bahagi ng isang mas malaking pagsisikap sa cyber-espionage na nauugnay sa aktibidad ng pagbabanta ng Tsina.