Шкідливе програмне забезпечення Showboat
Дослідники кібербезпеки виявили раніше недокументовану систему шкідливого програмного забезпечення для Linux, відому як Showboat, яка активно розгортається проти телекомунікаційного провайдера на Близькому Сході щонайменше з середини 2022 року. Шкідливе програмне забезпечення працює як модульний інструментарій після експлуатації, здатний забезпечувати віддалений доступ до оболонки, передавати файли та функціонувати як проксі-сервер SOCKS5 у скомпрометованих середовищах.
Аналітики з безпеки вважають, що шкідливе програмне забезпечення пов'язане з одним або кількома кластерами загроз, пов'язаними з Китаєм. Слідчі виявили зв'язки між інфраструктурою командування та управління (C2) шкідливого програмного забезпечення та IP-адресами, що ведуть до Ченду, столиці китайської провінції Сичуань, що посилює підозри щодо причетності китайського уряду.
Зміст
Зв'язки з усталеними операціями з боротьби з загрозами, пов'язаними з Китаєм
Одна з груп, пов'язаних з цією діяльністю, — Calypso, також відома як Bronze Medley та Red Lamassu. Цей зловмисник діє щонайменше з вересня 2016 року та традиційно атакує урядові та інституційні установи в Бразилії, Індії, Казахстані, Росії, Таїланді та Туреччині. Публічні повідомлення про цю групу вперше з'явилися у 2019 році завдяки дослідженню, опублікованому Positive Technologies.
Раніше Calypso використовувала такі сімейства шкідливих програм, як PlugX, а також бекдори, включаючи WhiteBird та BYEBY. Шкідливе програмне забезпечення BYEBY належить до більшого операційного кластера під назвою Mikroceen, який також пов'язують із кластером загроз SixLittleMonkeys. Дослідники також відзначили тактичну схожість між SixLittleMonkeys та іншою пов'язаною з Китаєм операцією, відомою як Webworm.
Поява Showboat поряд зі спільними фреймворками, такими як PlugX, ShadowPad та NosyDoor, підкреслює ширшу тенденцію серед учасників атаки, пов'язаної з Китаєм: повторне використання та розповсюдження наступальних кіберінструментів між кількома шпигунськими групами. Ця закономірність переконливо свідчить про існування централізованого «цифрового квартирмейстера», відповідального за постачання шкідливого програмного забезпечення та операційних ресурсів державним операторам.
Розширені можливості бекдору Linux викликають серйозні занепокоєння
Розслідування розпочалося після того, як дослідники проаналізували бінарний файл ELF, завантажений у травні 2025 року, який спочатку класифікували як високорозвинений бекдор для Linux з функціональністю, подібною до руткіту. Зразок шкідливого програмного забезпечення також відстежується під назвою EvaRAT.
Хоча точний вектор зараження залишається невідомим, попередні вторгнення Calypso включали розгортання веб-оболок ASPX після використання вразливостей або компрометації облікових записів віддаленого доступу за замовчуванням. Ця група також була однією з перших китайських зловмисників, які використали як зброю CVE-2021-26855, уразливість Microsoft Exchange Server, яка сформувала початковий етап сумнозвісного ланцюжка експлойтів ProxyLogon.
Шоубоут розроблений для встановлення зв'язку з віддаленими серверами командування та управління (C2), збору детальної системної інформації та передачі зібраних даних у зашифрованому вигляді, закодованому за допомогою Base64, прихованому в полях PNG. Шкідливе програмне забезпечення також підтримує низку прихованих та оперативних функцій, зокрема:
- Функціональність завантаження та вивантаження файлів
- Методи приховування процесів
- Управління сервером C2
- Внутрішнє мережеве сканування
- SOCKS5 проксі-тунелювання для бічного руху
Щоб уникнути виявлення на скомпрометованих хостах, Showboat отримує фрагмент коду з Pastebin, а дослідники відстежують розміщений контент до 11 січня 2022 року. Аналітики вважають, що основною метою шкідливого програмного забезпечення є забезпечення постійного доступу всередині цільових мереж, зокрема до систем, ізольованих від прямого впливу Інтернету та доступних лише через внутрішні локальні з'єднання.
Розширення інфраструктури виявляє міжнародних жертв
Подальше вивчення інфраструктури загроз виявило численні організації-жертви, що охоплюють кілька регіонів. Дослідники виявили інтернет-провайдера з Афганістану та ще одну невстановлену організацію, розташовану в Азербайджані. Вторинний кластер серверів C2, що мають схожі сертифікати X.509, також вказав на можливі компрометації, що впливають на організації у Сполучених Штатах та Україні.
Подальше розгортання стійких імплантів шкідливого програмного забезпечення демонструє, що, незважаючи на зростання використання багатьма зловмисниками прихованих методів «живуть за рахунок землі», розвинені групи все ще значною мірою покладаються на спеціальні бекдори для довгострокового доступу та операційного контролю. Експерти з безпеки попереджають, що виявлення шкідливого програмного забезпечення, такого як Showboat, слід розглядати як критичний показник потенційно ширшої компрометації в уражених мережах.
JFMBackdoor розширює кампанію за межі Linux-систем
Окрім Showboat, дослідники спостерігали, як Calypso розгортає повнофункціональний імплантат шкідливого програмного забезпечення для Windows, відомий як JFMBackdoor, під час атак, спрямованих на телекомунікаційний сектор Афганістану. Шкідливе програмне забезпечення поширюється через стороннє завантаження DLL – техніку, яка використовує легітимні програми для завантаження шкідливих бібліотек динамічного компонування.
Ланцюг зараження починається з пакетного скрипта, який запускає довірений виконуваний файл, що згодом завантажує шахрайське корисне навантаження DLL. Після активації JFMBackdoor надає зловмисникам розширений операційний контроль над скомпрометованими системами. Його функціональність включає:
- Віддалене виконання оболонки
Зосередження уваги на Афганістані та його телекомунікаційній інфраструктурі тісно узгоджується з ширшими стратегічними цілями, які раніше пов'язували з операціями "Червоний Ламассу", що підтверджує оцінки того, що кампанія є частиною більш масштабних зусиль з кібершпигунства, пов'язаних з китайською загрозливою діяльністю.
