Showboat и JFMBackdoor разкриват дългосрочна кампания срещу телекомуникационния сектор в Азия и Близкия изток

Нова мащабна кибершпионска операция, свързвана с китайски държавно ориентирани заплахи, е компрометирала телекомуникационни доставчици чрез два новооткрити зловредни инструмента – Linux импланта Showboat и Windows бекдора JFMBackdoor. Анализът на атаките показва високо ниво на оперативна координация, устойчивост и фокус върху дългосрочно проникване в критична комуникационна инфраструктура.

Изследователи от Lumen Black Lotus Labs и PwC свързват операцията с групата Calypso, известна още като Red Lamassu, която е активна поне от средата на 2022 г.

Телеком инфраструктурата остава приоритетна цел

Според разследването атакуващите са използвали множество домейни, имитиращи телекомуникационни компании, за да прикриват инфраструктурата си и да улесняват комуникацията със заразените системи. Подобен подход е характерен за добре организирани кибершпионски операции, при които прикритието и дългосрочното присъствие са по-важни от бързото разрушително въздействие.

Телеком операторите представляват особено ценна цел, тъй като предоставят достъп до чувствителни комуникационни данни, метаданни, вътрешни мрежови маршрути и потенциални точки за последващи атаки срещу други организации и държавни структури.

Изследователите отбелязват, че жертвите се намират основно в Азиатско-тихоокеанския регион и части от Близкия изток – райони, които традиционно попадат във фокуса на геополитически кибероперации.

Showboat – модулен Linux имплант за дългосрочно присъствие

Linux зловредният код, наречен Showboat или kworker, представлява модулна пост-експлоатационна платформа, създадена за продължително присъствие в компрометирани среди.

Първоначалният метод на проникване засега остава неизвестен, което предполага, че операторите вероятно използват разнообразни техники – от експлоатация на уязвимости до компрометирани идентификационни данни или атаки срещу публично достъпни услуги.

След инсталиране имплантът:

• събира системна информация за компрометирания хост;
• изпраща данни към команден и контролен сървър (C2);
• качва и изтегля файлове;
• създава устойчивост чрез Linux услуги;
• укрива процесите си;
• използва SOCKS5 прокси и port forwarding функционалности.

Особено внимание привлича механизмът за скриване на процеси. Според анализа на Black Lotus Labs, зловредният код може да извлича допълнителен код от външни ресурси като Pastebin или интернет форуми, използвани като т.нар. dead drop инфраструктура.

Тази техника значително затруднява откриването, тъй като част от компонентите не се съхраняват постоянно върху заразената система и могат динамично да бъдат подменяни или активирани при необходимост.

SOCKS5 прокси функционалността превръща компрометираните системи в оперативни хъбове

Една от най-опасните възможности на Showboat е превръщането на заразените устройства в междинни точки за вътрешно придвижване в мрежата.

Чрез SOCKS5 прокси и port mapping функционалности атакуващите могат:

• да тунелират трафик през компрометирани системи;
• да достигат вътрешни сегменти, недостъпни отвън;
• да прикриват произхода на атаките;
• да използват телеком инфраструктурата като платформа за последващи операции.

Това е типичен белег на напреднали постоянни заплахи (APT), при които основната цел не е моментален саботаж, а изграждане на скрита и устойчива оперативна инфраструктура.

JFMBackdoor атакува Windows среди чрез DLL sideloading

Паралелно с Linux импланта, изследователите от PwC анализират и Windows компонента на операцията – JFMBackdoor.

Инфекционната верига започва с batch скрипт, който подготвя DLL sideloading процедура чрез легитимния процес fltMC.exe и злонамерена библиотека FLTLIB.dll. По този начин крайният полезен товар се зарежда под прикритието на доверен Windows компонент.

След активиране JFMBackdoor предоставя пълен набор от шпионски и оперативни функции:

• отдалечено изпълнение на команди;
• управление на файлове;
• TCP проксиране;
• контрол върху процеси и услуги;
• манипулация на Windows Registry;
• заснемане на екрани;
• криптирана конфигурация;
• самопремахване и анти-форензични механизми.

Комбинацията от Linux и Windows инструменти показва висока степен на гъвкавост, позволяваща на операторите да действат в хетерогенни корпоративни среди.

Децентрализиран модел и споделен зловреден екосистемен подход

Инфраструктурният анализ подсказва, че операцията не се управлява от един централен екип, а по-скоро чрез частично децентрализиран модел.

Изследователите идентифицират множество клъстери с подобни техники за генериране на сертификати, сходни инструменти и оперативни модели, но насочени към различни групи жертви.

Това подсказва наличие на споделен малуерен екосистемен подход, при който различни китайски групи използват една и съща инструментална база, адаптирайки я според конкретните геополитически цели.

Linux системите все по-често попадат във фокуса на държавни APT групи

Кампанията е още едно доказателство за нарастващия интерес към Linux инфраструктурата. Докато традиционно голяма част от защитните решения са концентрирани върху Windows среди, съвременните APT групи активно разработват Linux импланти за сървъри, телеком оборудване, облачни среди и мрежови устройства.

Телеком секторът е особено уязвим, тъй като комбинира Linux базирани системи, сложна мрежова архитектура и огромни обеми чувствителен трафик.

Защитата срещу подобни операции изисква:

• поведенчески анализ;
• разширен мониторинг на мрежовите комуникации;
• откриване на аномалии при proxy и tunneling активност;
• наблюдение на persistence механизми;
• засилен контрол върху легитимни системни инструменти.