Showboat 恶意软件
网络安全研究人员发现了一种此前未被记录的 Linux 恶意软件框架 Showboat,该框架至少从 2022 年年中开始就一直在针对中东的一家电信运营商进行攻击。该恶意软件作为一个模块化的后渗透工具包运行,能够在受感染的环境中实现远程 shell 访问、文件传输以及充当 SOCKS5 代理。
安全分析人士认为,该恶意软件与一个或多个与中国相关的威胁集群有关。调查人员发现该恶意软件的命令与控制(C2)基础设施与源自中国四川省省会成都的IP地址存在关联,这进一步加剧了人们对中国政府参与其中的怀疑。
目录
与已确立的与中国有关的威胁行动的联系
与此次活动相关的组织之一是 Calypso,又名 Bronze Medley 和 Red Lamassu。该威胁组织至少从 2016 年 9 月起就十分活跃,历史上曾以巴西、印度、哈萨克斯坦、俄罗斯、泰国和土耳其的政府机构和实体为攻击目标。Positive Technologies 于 2019 年发布的研究报告首次公开披露了该组织的情况。
Calypso此前曾依赖PlugX等恶意软件家族,以及WhiteBird和BYEBY等后门程序。BYEBY恶意软件属于一个名为Mikroceen的大型行动集群,该集群也与SixLittleMonkeys威胁集群有关联。研究人员还指出,SixLittleMonkeys与另一个与中国有关联的名为Webworm的行动在策略上存在相似之处。
Showboat 与 PlugX、ShadowPad 和 NosyDoor 等共享框架的出现,凸显了与中国有关联的威胁行为者中一个更广泛的趋势:多个间谍组织之间重复使用和分发攻击性网络工具。这种模式强烈暗示存在一个集中的“数字后勤中心”,负责向国家支持的攻击者提供恶意软件和行动资源。
Linux高级后门功能引发严重担忧
此次调查始于研究人员分析了一个于2025年5月上传的ELF二进制文件,该文件最初被归类为具有类似rootkit功能的高级Linux后门程序。该恶意软件样本也被称为EvaRAT。
尽管确切的感染途径尚不清楚,但以往的 Calypso 入侵事件都涉及在利用漏洞或攻破默认远程访问账户后部署 ASPX Web Shell。该组织也是最早利用 CVE-2021-26855(微软 Exchange Server 漏洞,也是臭名昭著的 ProxyLogon 攻击链的初始阶段)的中国威胁行为者之一。
Showboat 旨在与远程 C2 服务器建立通信,收集详细的系统信息,并将收集到的数据以加密和 Base64 编码的形式隐藏在 PNG 文件中进行传输。该恶意软件还支持一系列隐蔽和运行功能,包括:
- 文件上传和下载功能
- 过程隐蔽技术
- C2服务器管理
- 内部网络扫描
- SOCKS5代理隧道用于横向移动
为了逃避对受感染主机的检测,Showboat 从 Pastebin 获取了一段代码片段,研究人员追踪到该托管内容最早可追溯到 2022 年 1 月 11 日。分析人士认为,该恶意软件的主要目的是确保对目标网络内部的持久访问,特别是那些与直接互联网隔离且只能通过内部 LAN 连接访问的系统。
基础设施扩建揭示国际受害者
对威胁基础设施的进一步分析发现,多个受害组织遍布多个地区。研究人员识别出一家位于阿富汗的互联网服务提供商和一家位于阿塞拜疆的身份不明的组织。此外,一个共享类似 X.509 证书的 C2 服务器集群也表明,美国和乌克兰的实体可能受到攻击。
持续部署的持久性恶意软件植入程序表明,尽管许多威胁行为者越来越多地使用更隐蔽的“借力打力”技术,但高级组织仍然严重依赖定制后门来实现长期访问和运行控制。安全专家警告说,发现诸如 Showboat 之类的恶意软件应被视为受影响网络可能存在更大范围入侵的关键指标。
JFMBackdoor 将活动范围扩展到 Linux 系统之外
除了 Showboat 之外,研究人员还观察到 Calypso 在针对阿富汗电信行业的攻击中部署了一款名为 JFMBackdoor 的功能齐全的 Windows 恶意软件植入程序。该恶意软件通过 DLL 侧加载进行传播,这种技术利用合法应用程序加载恶意动态链接库。
感染链始于一个批处理脚本,该脚本启动一个受信任的可执行文件,随后该文件加载恶意 DLL 有效载荷。一旦激活,JFMBackdoor 便可为攻击者提供对受感染系统的广泛操作控制权。其功能包括:
- 远程 shell 执行
对阿富汗及其电信基础设施的关注与之前与“红拉玛苏”行动相关的更广泛的战略目标密切相关,这进一步证实了该行动是与中国威胁活动有关的更大规模网络间谍活动的一部分。
