بدافزار لینوکسی Showboat در حملات منتسب به چین شناسایی شد

کمیته رکن چهارم – پژوهشگران امنیت سایبری از شناسایی یک بدافزار لینوکسی جدید با نام Showboat خبر داده‌اند که از سال ۲۰۲۲ در حملاتی علیه یک شرکت مخابراتی در خاورمیانه مورد استفاده قرار گرفته است.

به گزارش کمیته رکن چهارم، شرکت Black Lotus Labs وابسته به Lumen Technologies اعلام کرده Showboat یک چارچوب ماژولار post-exploitation برای سیستم‌های لینوکسی است که قابلیت ایجاد shell از راه دور، انتقال فایل و عمل به‌عنوان پراکسی SOCKS5 را دارد.

بررسی‌ها نشان می‌دهد این بدافزار احتمالاً توسط یک یا چند گروه وابسته به چین استفاده شده و زیرساخت‌های command-and-control آن با آدرس‌های IP مستقر در شهر چنگدو چین مرتبط هستند. یکی از گروه‌های تهدید مرتبط با این فعالیت، Calypso یا Red Lamassu عنوان شده که پیش‌تر نیز در حملات سایبری علیه نهادهای دولتی و مخابراتی در چندین کشور شناسایی شده بود.

پژوهشگران اعلام کرده‌اند Showboat پس از اجرا با سرور فرماندهی ارتباط برقرار کرده، اطلاعات سیستم قربانی را جمع‌آوری می‌کند و آن‌ها را در قالب داده‌های رمزگذاری‌شده ارسال می‌کند. این بدافزار همچنین قادر است فایل‌ها را بارگذاری یا دانلود کند، خود را از فهرست پردازش‌ها مخفی کند و از طریق SOCKS5 به دستگاه‌های دیگر در شبکه داخلی متصل شود.

طبق این گزارش، بدافزار برای پنهان‌سازی فعالیت خود از کدهایی میزبانی‌شده در Pastebin استفاده می‌کند و می‌تواند به‌عنوان نقطه تثبیت دسترسی اولیه در شبکه قربانی عمل کند.

تحلیل زیرساخت‌ها نشان داده دست‌کم یک ارائه‌دهنده خدمات اینترنتی در افغانستان و یک نهاد در جمهوری آذربایجان هدف این حملات بوده‌اند. همچنین نشانه‌هایی از نفوذ احتمالی به سامانه‌هایی در آمریکا و اوکراین نیز مشاهده شده است.

پژوهشگران در همین کمپین، یک بدافزار ویندوزی با نام JFMBackdoor را نیز شناسایی کرده‌اند که از طریق DLL side-loading اجرا می‌شود و قابلیت‌هایی مانند دسترسی shell از راه دور، گرفتن اسکرین‌شات، عملیات روی فایل‌ها و حذف خود را دارد.

پیش‌زمینه

گروه‌های وابسته به چین طی سال‌های اخیر بارها به استفاده از چارچوب‌های مشترک جاسوسی مانند PlugX، ShadowPad و سایر بکدورها متهم شده‌اند. کارشناسان امنیتی معتقدند این ابزارها از طریق شبکه‌ای مشترک میان چند گروه تهدید توزیع می‌شوند.

جمع‌بندی

کشف Showboat نشان می‌دهد حملات علیه زیرساخت‌های مخابراتی و شبکه‌های لینوکسی همچنان در حال گسترش است. کارشناسان هشدار می‌دهند وجود چنین بدافزارهایی معمولاً نشانه مشکلات امنیتی عمیق‌تر در شبکه‌های هدف است و می‌تواند به نفوذهای گسترده‌تر منجر شود.