Showboat 惡意軟體
網路安全研究人員發現了一種先前未被記錄的 Linux 惡意軟體框架 Showboat,該框架至少從 2022 年年中開始就一直在針對中東的電信營運商進行攻擊。該惡意軟體作為一個模組化的後滲透工具包運行,能夠在受感染的環境中實現遠端 shell 存取、文件傳輸以及充當 SOCKS5 代理。
安全分析家認為,該惡意軟體與一個或多個與中國相關的威脅群聚有關。調查人員發現該惡意軟體的命令與控制(C2)基礎設施與源自中國四川省省會成都的IP位址存在關聯,這進一步加劇了人們對中國政府參與其中的懷疑。
目錄
與已確立的與中國有關的威脅行動的聯繫
與此活動相關的組織之一是 Calypso,又名 Bronze Medley 和 Red Lamassu。該威脅組織至少從 2016 年 9 月起就十分活躍,歷史上曾以巴西、印度、哈薩克、俄羅斯、泰國和土耳其的政府機構和實體為攻擊目標。 Positive Technologies 於 2019 年發布的研究報告首次公開揭露了該組織的情況。
Calypso先前曾依賴PlugX等惡意軟體家族,以及WhiteBird和BYEBY等後門程式。 BYEBY惡意軟體屬於一個名為Mikroceen的大型行動集群,該集群也與SixLittleMonkeys威脅集群有關聯。研究人員也指出,SixLittleMonkeys與另一個與中國有關的名為Webworm的行動在策略上有相似之處。
Showboat 與 PlugX、ShadowPad 和 NosyDoor 等共享框架的出現,凸顯了與中國有關的威脅行為者中一個更廣泛的趨勢:多個間諜組織之間重複使用和分發攻擊性網路工具。這種模式強烈暗示存在一個集中的“數位後勤中心”,負責向國家支持的攻擊者提供惡意軟體和行動資源。
Linux進階後門功能引發嚴重擔憂
這項調查始於研究人員分析了一個於2025年5月上傳的ELF二進位文件,該文件最初被歸類為具有類似rootkit功能的高級Linux後門程式。該惡意軟體樣本也被稱為EvaRAT。
儘管確切的感染途徑尚不清楚,但以往的 Calypso 入侵事件都涉及在利用漏洞或攻破預設遠端存取帳戶後部署 ASPX Web Shell。該組織也是最早利用 CVE-2021-26855(微軟 Exchange Server 漏洞,也是臭名昭著的 ProxyLogon 攻擊鏈的初始階段)的中國威脅行為者之一。
Showboat 旨在與遠端 C2 伺服器建立通信,收集詳細的系統訊息,並將收集到的資料以加密和 Base64 編碼的形式隱藏在 PNG 檔案中進行傳輸。該惡意軟體還支援一系列隱蔽和運行功能,包括:
- 文件上傳和下載功能
- 流程隱蔽技術
- C2伺服器管理
- 內部網路掃描
- SOCKS5代理隧道用於橫向移動
為了逃避對受感染主機的偵測,Showboat 從 Pastebin 取得了一段程式碼片段,研究人員追蹤到該託管內容最早可追溯到 2022 年 1 月 11 日。分析師認為,該惡意軟體的主要目的是確保對目標網路內部的持久訪問,特別是那些與直接互聯網隔離且只能透過內部 LAN 連接訪問的系統。
基礎設施擴建揭示國際受害者
對威脅基礎設施的進一步分析發現,多個受害組織遍布多個地區。研究人員識別出一家位於阿富汗的網路服務供應商和一家位於阿塞拜疆的身份不明的組織。此外,一個共享類似 X.509 憑證的 C2 伺服器叢集也表明,美國和烏克蘭的實體可能受到攻擊。
持續部署的持久性惡意軟體植入程式表明,儘管許多威脅行為者越來越多地使用更隱蔽的「借力打力」技術,但高級組織仍然嚴重依賴定制後門來實現長期訪問和運行控制。安全專家警告說,發現諸如 Showboat 之類的惡意軟體應被視為受影響網路可能存在更大範圍入侵的關鍵指標。
JFMBackdoor 將活動範圍擴展到 Linux 系統之外
除了 Showboat 之外,研究人員還觀察到 Calypso 在針對阿富汗電信業的攻擊中部署了一款名為 JFMBackdoor 的功能齊全的 Windows 惡意軟體植入程式。該惡意軟體透過 DLL 側加載進行傳播,這種技術利用合法應用程式載入惡意動態連結庫。
感染鏈始於一個批次腳本,該腳本啟動一個受信任的可執行文件,隨後該文件載入惡意 DLL 有效載荷。一旦激活,JFMBackdoor 便可為攻擊者提供對受感染系統的廣泛操作控制權。其功能包括:
- 遠端 shell 執行
對阿富汗及其電信基礎設施的關注與先前與「紅拉瑪蘇」行動相關的更廣泛的戰略目標密切相關,這進一步證實了該行動是與中國威脅活動有關的更大規模網路間諜活動的一部分。
