Siber güvenlik araştırmacıları, Orta Doğu’daki telekomünikasyon sağlayıcılarını hedef alan yeni bir Linux zararlı yazılımı olan Showboat hakkında çarpıcı detayları kamuoyuyla paylaştı. En az 2022 yılının ortalarından bu yana aktif olan bu tehdit, bölgedeki kritik altyapılar için ciddi bir güvenlik riski oluşturuyor.
Showboat: Modüler Bir Tehdit
Lumen Technologies Black Lotus Labs tarafından hazırlanan rapora göre, Showboat, Linux sistemleri için tasarlanmış modüler bir saldırı sonrası çerçevesidir. Bu zararlı yazılım, uzaktan komut kabuğu oluşturma, dosya transferi yapma ve SOCKS5 proxy olarak işlev görme yeteneklerine sahip. Bu özellikler, saldırganlara ele geçirdikleri sistemler üzerinde geniş kontrol imkanı sunuyor.
Çin Bağlantılı Tehdit Aktörleri İş Başında
Araştırmacılar, Showboat‘un en az bir, muhtemelen daha fazla Çin bağlantılı tehdit grubu tarafından kullanıldığını belirtiyor. Calypso (diğer adıyla Bronze Medley ve Red Lamassu) gibi aktörler, komuta ve kontrol (C2) düğümleri ile Çin’in Siçuan eyaletinin başkenti Chengdu’da coğrafi olarak konumlandırılmış IP adresleri arasında bağlantılar tespit edildi. Calypso’nun 2016’dan bu yana Brezilya, Hindistan, Kazakistan, Rusya, Tayland ve Türkiye gibi ülkelerdeki devlet kurumlarını hedef aldığı biliniyor.
Ortak Araçlar ve Kaynak Havuzu
Saldırganların kullandığı araçlar arasında PlugX, WhiteBird ve BYEBY gibi arka kapılar bulunuyor. Özellikle BYEBY, ESET tarafından Mikroceen adı altında izlenen daha geniş bir kümenin parçası. Bu durum, Showboat‘u PlugX, ShadowPad ve NosyDoor gibi diğer Çin bağlantılı gruplar tarafından kullanılan ortak çerçeveler arasına yerleştiriyor. “Kaynak havuzu” olarak adlandırılan bu yaklaşım, devlet destekli Çinli tehdit aktörlerinin gerekli araçları temin etmek için bir “dijital ikmalciye” güvendiğini gösteriyor.
Saldırının Başlangıcı ve Erişim Yöntemleri
Soruşturma, Mayıs 2025’te VirusTotal’a yüklenen bir ELF ikili dosyasıyla başladı. Zararlı yazılım tarama platformu, bunu kök kiti benzeri yeteneklere sahip gelişmiş bir Linux arka kapısı olarak sınıflandırdı. Kaspersky ise bu eseri EvaRAT olarak takip ediyor. Black Lotus Labs güvenlik araştırmacısı Danny Adamitis, zararlı yazılımın ilk erişim vektörünün henüz bilinmediğini belirtse de, Calypso’nun geçmişte bir güvenlik açığını kullanarak veya uzaktan erişim için kullanılan varsayılan bir hesaba sızarak ASPX web kabuğu kullandığı gözlemlenmişti. Ayrıca, bu düşman, Microsoft Exchange Server’daki CVE-2021-26855 güvenlik açığını (ProxyLogon saldırı zincirinin ilk adımı) silahlandıran ilk Çin bağlantılı gruplar arasındaydı.
Showboat’un İşlevselliği ve Gizlenme Taktikleri
Showboat, bir C2 sunucusuyla iletişim kurmak, sistem bilgilerini toplamak ve bu bilgileri şifreli ve Base64 kodlu bir dize olarak bir PNG alanında sunucuya geri iletmek üzere tasarlanmıştır. Ayrıca, ana makineden dosya yükleme ve indirme, süreç listesinden varlığını gizleme ve C2 sunucularını yönetme yeteneğine de sahiptir. Kendini gizlemek için Pastebin’de barındırılan bir kod parçacığını kullanır. Bu kod parçası 11 Ocak 2022’de oluşturulmuştur. Zararlı yazılım, diğer cihazları tarayabilir ve SOCKS5 proxy aracılığıyla onlara bağlanabilir. Bu, Showboat‘un birincil amacının ele geçirilmiş sistemlerde bir dayanak noktası oluşturmak olduğunu göstermektedir.
Black Lotus Labs, “Bu, saldırganların internete açık olmayan ve yalnızca LAN aracılığıyla erişilebilen makinelerle etkileşime girmesine olanak tanır” açıklamasını yaptı.
Hedefler Genişliyor: Afganistan, Azerbaycan ve Ötesi
Altyapı analizleri, Afganistan merkezli bir internet servis sağlayıcısı (İSS) ve Azerbaycan’da bulunan başka bir bilinmeyen varlık olmak üzere iki kurbanı ortaya çıkardı. Orijinal C2 sunucusuyla benzer X.509 sertifikaları kullanan ikincil bir C2 kümesi, ABD’de iki ve Ukrayna’da bir olası ihlali ortaya çıkardı. Bu durum, tehdidin bölgesel sınırları aşarak küresel bir nitelik kazandığını göstermektedir.
Adamitis, “Bazı tehdit aktörleri tespitten kaçınmak için giderek daha gizli, yerel sistem araçlarını kullanırken, diğerleri hala kalıcı zararlı yazılım implantları dağıtıyor” dedi. “Bu tür tehditlerin varlığı, etkilenen ağlarda daha geniş ve daha ciddi güvenlik sorunlarının potansiyelini gösteren erken bir uyarı işareti olarak alınmalıdır.”
JFMBackdoor: Windows Sistemlerine Yönelik Tehdit
Afganistan’daki telekomünikasyon sağlayıcısını hedef alan kampanyada Calypso tarafından kullanılan bir diğer araç ise, DLL yan yüklemesi yoluyla dağıtılan JFMBackdoor kod adlı tam özellikli bir Windows implantıdır. Bu saldırı zinciri, meşru bir yürütülebilir dosyayı başlatan ve ardından kötü amaçlı DLL’i yükleyen bir toplu iş komut dosyasını içerir. JFMBackdoor, uzaktan kabuk erişimi, dosya işlemleri, ağ proxy’si, ekran görüntüsü yakalama ve kendi kendini kaldırma dahil olmak üzere geniş bir yetenek yelpazesini desteklemektedir.
PricewaterhouseCoopers (PwC), koordineli bir raporda, “Afganistan ve telekomünikasyon sektörünün hedef alınması, Red Lamassu’nun daha geniş operasyonel hedefleri ve amaçlarıyla neredeyse kesinlikle örtüşmektedir” ifadelerini kullandı. Bu gelişmeler, bölgedeki siber güvenlik tehditlerinin ciddiyetini ve karmaşıklığını bir kez daha gözler önüne sermektedir.
#SiberGüvenlik #ShowboatMalware #LinuxTehdit #OrtaDoğu #Telekomünikasyon #SOCKS5Proxy #ÇinliHackerlar #KritikAltyapı #RedLamassu #SiberSaldırı
