Showboat Kötü Amaçlı Yazılımı
Siber güvenlik araştırmacıları, en az 2022 ortalarından beri Orta Doğu'daki bir telekomünikasyon sağlayıcısına karşı aktif olarak kullanılan, daha önce belgelenmemiş Showboat adlı bir Linux kötü amaçlı yazılım çerçevesini ortaya çıkardı. Bu kötü amaçlı yazılım, uzaktan kabuk erişimi sağlama, dosya aktarma ve ele geçirilen ortamlarda SOCKS5 proxy'si olarak işlev görme yeteneğine sahip modüler bir sömürü sonrası araç seti olarak çalışmaktadır.
Güvenlik analistleri, kötü amaçlı yazılımın Çin ile bağlantılı bir veya daha fazla tehdit kümesiyle ilişkili olduğuna inanıyor. Araştırmacılar, kötü amaçlı yazılımın Komuta ve Kontrol (C2) altyapısı ile Çin'in Siçuan eyaletinin başkenti Chengdu'ya kadar uzanan IP adresleri arasında bağlantılar tespit ederek, Çin devlet destekli bir müdahale şüphesini güçlendirdi.
İçindekiler
Çin bağlantılı tehdit operasyonlarıyla ilgili bağlantılar
Bu faaliyetle bağlantılı gruplardan biri de Bronze Medley ve Red Lamassu olarak da bilinen Calypso'dur. Tehdit unsuru en az Eylül 2016'dan beri aktif olup, geçmişte Brezilya, Hindistan, Kazakistan, Rusya, Tayland ve Türkiye'deki hükümet ve kurumsal kuruluşları hedef almıştır. Grup hakkındaki kamuoyuna yansıyan ilk bilgiler, 2019 yılında Positive Technologies tarafından yayınlanan bir araştırma aracılığıyla ortaya çıkmıştır.
Calypso daha önce PlugX gibi kötü amaçlı yazılım ailelerinin yanı sıra WhiteBird ve BYEBY gibi arka kapı yazılımlarına da başvurmuştu. BYEBY kötü amaçlı yazılımı, Mikroceen olarak adlandırılan daha büyük bir operasyonel kümeye aittir ve bu küme SixLittleMonkeys tehdit kümesiyle de bağlantılıdır. Araştırmacılar ayrıca SixLittleMonkeys ile Webworm olarak bilinen Çin bağlantılı başka bir operasyon arasında taktiksel benzerlikler olduğunu da belirtmişlerdir.
Showboat'ın PlugX, ShadowPad ve NosyDoor gibi paylaşılan çerçevelerle birlikte ortaya çıkması, Çin bağlantılı tehdit aktörleri arasında daha geniş bir eğilimi vurguluyor: birden fazla casusluk grubu arasında saldırgan siber araçların yeniden kullanımı ve dağıtımı. Bu model, devlet destekli operatörlere kötü amaçlı yazılım ve operasyonel kaynak sağlamaktan sorumlu merkezi bir 'dijital levazım subayı'nın varlığını güçlü bir şekilde düşündürüyor.
Gelişmiş Linux Arka Kapı Yetenekleri Ciddi Endişelere Yol Açıyor
Soruşturma, araştırmacıların Mayıs 2025'te yüklenen ve başlangıçta rootkit benzeri işlevselliğe sahip oldukça gelişmiş bir Linux arka kapısı olarak sınıflandırılan bir ELF ikili dosyasını analiz etmesinin ardından başladı. Bu kötü amaçlı yazılım örneği EvaRAT adıyla da takip ediliyor.
Kesin enfeksiyon vektörü bilinmemekle birlikte, Calypso'nun önceki saldırıları, güvenlik açıklarından yararlanarak veya varsayılan uzaktan erişim hesaplarını ele geçirerek ASPX web kabuklarının konuşlandırılmasını içeriyordu. Grup ayrıca, kötü şöhretli ProxyLogon saldırı zincirinin ilk aşamasını oluşturan Microsoft Exchange Server açığı olan CVE-2021-26855'i silah olarak kullanan ilk Çinli tehdit aktörleri arasındaydı.
Showboat, uzak C2 sunucularıyla iletişim kurmak, ayrıntılı sistem bilgilerini toplamak ve toplanan verileri PNG alanları içinde gizlenmiş şifrelenmiş ve Base64 kodlu biçimde iletmek üzere tasarlanmıştır. Kötü amaçlı yazılım ayrıca aşağıdakiler de dahil olmak üzere bir dizi gizlilik ve operasyonel özelliği desteklemektedir:
- Dosya yükleme ve indirme işlevi
- Süreç gizleme teknikleri
- C2 sunucu yönetimi
- Dahili ağ taraması
- SOCKS5 yanal hareket için proxy tünelleme
Showboat, ele geçirilmiş sunucularda tespit edilmekten kaçınmak için Pastebin'den bir kod parçası indiriyor ve araştırmacılar barındırılan içeriğin izini 11 Ocak 2022'ye kadar sürüyor. Analistler, kötü amaçlı yazılımın birincil amacının, özellikle doğrudan internet erişiminden izole edilmiş ve yalnızca dahili LAN bağlantıları aracılığıyla erişilebilen sistemler olmak üzere, hedef ağlar içinde kalıcı erişim sağlamak olduğuna inanıyor.
Genişleyen Altyapı Uluslararası Mağdurları Ortaya Çıkarıyor
Tehdit altyapısının daha ayrıntılı incelenmesi, çeşitli bölgelere yayılmış çok sayıda mağdur kuruluşu ortaya çıkardı. Araştırmacılar, Afganistan merkezli bir internet servis sağlayıcısı ve Azerbaycan'da bulunan ek bir tanımlanamayan kuruluş tespit etti. Benzer X.509 sertifikalarını paylaşan ikincil bir C2 sunucu kümesi de Amerika Birleşik Devletleri ve Ukrayna'daki kuruluşları etkileyebilecek olası güvenlik ihlallerine işaret etti.
Kalıcı kötü amaçlı yazılım yerleştirmelerinin devam etmesi, birçok tehdit aktörünün giderek daha gizli "ortamdan faydalanma" tekniklerini kullanmasına rağmen, gelişmiş grupların uzun vadeli erişim ve operasyonel kontrol için özel arka kapılara büyük ölçüde güvendiğini göstermektedir. Güvenlik uzmanları, Showboat gibi kötü amaçlı yazılımların keşfinin, etkilenen ağlarda potansiyel olarak daha geniş bir güvenlik ihlalinin kritik bir göstergesi olarak ele alınması gerektiği konusunda uyarıyor.
JFMBackdoor Kampanyasını Linux Sistemlerinin Ötesine Genişletiyor
Showboat'a ek olarak, araştırmacılar Calypso'nun Afganistan'ın telekomünikasyon sektörünü hedef alan saldırılar sırasında JFMBackdoor olarak bilinen tam özellikli bir Windows kötü amaçlı yazılım yerleştirdiğini gözlemledi. Bu kötü amaçlı yazılım, meşru uygulamaları kötüye kullanarak zararlı dinamik bağlantı kütüphanelerini yükleyen bir teknik olan DLL yan yükleme yoluyla yayılıyor.
Bulaşma zinciri, güvenilir bir yürütülebilir dosyayı başlatan ve ardından kötü amaçlı DLL yükünü yükleyen bir toplu işlem komut dosyasıyla başlar. Aktif hale geldiğinde, JFMBackdoor saldırganlara ele geçirilen sistemler üzerinde kapsamlı operasyonel kontrol sağlar. İşlevleri şunları içerir:
- Uzaktan kabuk yürütme
- Dosya yönetimi işlemleri
- Ağ proxy yetenekleri
- Ekran görüntüsü yakalama
- Kendiliğinden kaldırma mekanizmaları
Afganistan'a ve telekomünikasyon altyapısına odaklanılması, daha önce Kızıl Lamassu operasyonlarıyla ilişkilendirilen daha geniş stratejik hedeflerle yakından örtüşmekte ve bu da kampanyanın Çin tehdit faaliyetleriyle bağlantılı daha büyük bir siber casusluk çabasının parçası olduğu değerlendirmelerini güçlendirmektedir.
