محققان امنیت سایبری جزئیات یک بدافزار لینوکسی جدید به نام «Showboat» را فاش کردهاند که از اواسط سال ۲۰۲۲ در کارزاری هدفمند علیه یک ارائهدهنده خدمات مخابراتی در خاورمیانه مورد استفاده قرار گرفته است. این حمله سایبری پیچیده، زنگ خطر را برای لزوم تقویت زیرساختهای دفاعی سایبری در منطقه به صدا درآورده است.
قابلیتهای بدافزار Showboat: ابزاری قدرتمند برای نفوذ
آزمایشگاههای Black Lotus شرکت Lumen Technologies در گزارشی که با «The Hacker News» به اشتراک گذاشته شده، اعلام کردند: «Showboat یک چارچوب پسا-بهرهبرداری ماژولار است که برای سیستمهای لینوکس طراحی شده و قادر به ایجاد یک پوسته از راه دور، انتقال فایلها و عملکرد به عنوان یک پروکسی SOCKS5 است.» این قابلیتها نشاندهنده سطح بالای پیچیدگی و سازماندهی در پشت این حملات است.
بر اساس ارزیابیها، این بدافزار توسط حداقل یک و احتمالاً چندین گروه فعال در فضای سایبری با ریشههایی در شرق آسیا به کار گرفته شده است. ارتباطاتی بین گرههای فرماندهی و کنترل (C2) و آدرسهای IP جغرافیایی مرتبط با چنگدو، مرکز استان سیچوان چین، شناسایی شده است. این موضوع بر ماهیت سازمانیافته و منابع قابل توجه این گروهها تأکید دارد.
بازیگران پشت پرده: از Calypso تا Mikroceen
یکی از بازیگران تهدیدآمیز شناسایی شده، گروه «Calypso» (با نامهای مستعار Bronze Medley و Red Lamassu) است که از سپتامبر ۲۰۱۶ فعال بوده و نهادهای دولتی در کشورهایی مانند برزیل، هند، قزاقستان، روسیه، تایلند و ترکیه را هدف قرار داده است. این گروه برای اولین بار در اکتبر ۲۰۱۹ توسط Positive Technologies مستندسازی شد.
ابزارهای کلیدی در زرادخانه این گروه شامل PlugX و دربهای پشتی مانند WhiteBird و BYEBY است. BYEBY بخشی از یک خوشه گستردهتر است که توسط ESET تحت عنوان Mikroceen ردیابی میشود. استفاده از Mikroceen به گروهی به نام SixLittleMonkeys نسبت داده شده که خود با گروه دیگری با ارتباطات مشابه در شرق آسیا به نام Webworm، همپوشانی تاکتیکی دارد.
این همپوشانیها و استفاده از چارچوبهای مشترک مانند PlugX، ShadowPad و NosyDoor توسط چندین گروه با ارتباطات قوی، نشاندهنده وجود یک «تدارکاتچی دیجیتال» است که بازیگران سایبری با پشتیبانی قابل توجه از آن برای تأمین ابزارهای لازم خود استفاده میکنند. این امر تهدیدات سایبری را جدیتر و مقابله با آنها را دشوارتر میسازد.
جزئیات فنی و برد حملات
نقطه آغازین این تحقیقات، یک فایل باینری ELF بود که در ماه می ۲۰۲۵ در VirusTotal آپلود شد و پلتفرم اسکن بدافزار آن را به عنوان یک درب پشتی پیچیده لینوکس با قابلیتهای روتکیت طبقهبندی کرد. کسپرسکی این بدافزار را با نام EvaRAT ردیابی میکند.
دنی آدامیتس، محقق امنیتی Black Lotus Labs، اظهار داشت که بردار دسترسی اولیه دقیق برای تحویل این بدافزار در حال حاضر ناشناخته است. با این حال، در گذشته، Calypso از یک وبشل ASPX پس از بهرهبرداری از یک نقص یا نفوذ به یک حساب پیشفرض برای دسترسی از راه دور استفاده کرده است.
این مهاجمان همچنین از اولین گروههایی بودند که آسیبپذیری CVE-2021-26855 در Microsoft Exchange Server را که اولین گام در زنجیره بهرهبرداری ProxyLogon است، به کار گرفتند. این نشاندهنده توانایی آنها در بهرهبرداری سریع از آسیبپذیریهای سیستمهای پرکاربرد جهانی است.
بدافزار Showboat برای برقراری ارتباط با سرور C2، جمعآوری اطلاعات سیستم و انتقال آن به سرور در قالب یک رشته رمزگذاری شده و Base64-encoded در یک فیلد PNG طراحی شده است. همچنین قادر به آپلود و دانلود فایلها، پنهان کردن حضور خود از لیست فرآیندها و مدیریت سرورهای C2 است. برای پنهان کردن خود در سیستم میزبان، Showboat یک قطعه کد را از Pastebin بازیابی میکند که در ۱۱ ژانویه ۲۰۲۲ ایجاد شده است.
علاوه بر این، این بدافزار میتواند سایر دستگاهها را اسکن کرده و از طریق پروکسی SOCKS5 به آنها متصل شود. این نشان میدهد که هدف اصلی Showboat ایجاد جای پا در سیستمهای آلوده و گسترش نفوذ در شبکههای داخلی است. این امر به مهاجمان اجازه میدهد تا با ماشینهایی که به صورت عمومی در اینترنت در دسترس نیستند و فقط از طریق شبکه محلی (LAN) قابل دسترسی هستند، تعامل داشته باشند.
قربانیان و هشدارها
تحلیل بیشتر زیرساختها دو قربانی را آشکار کرده است: یک ارائهدهنده خدمات اینترنتی (ISP) در افغانستان و یک نهاد ناشناس دیگر در جمهوری آذربایجان. یک خوشه C2 ثانویه با استفاده از گواهیهای X.509 مشابه سرور C2 اصلی، دو مورد نفوذ احتمالی در ایالات متحده و یک مورد در اوکراین را نیز کشف کرده است.
آدامیتس هشدار داد: «در حالی که برخی از بازیگران تهدیدآمیز به طور فزایندهای از ابزارهای سیستمی بومی و پنهان برای فرار از شناسایی استفاده میکنند، برخی دیگر همچنان بدافزارهای پایدار را مستقر میکنند. حضور چنین تهدیداتی باید به عنوان یک علامت هشدار اولیه تلقی شود که نشاندهنده پتانسیل برای مسائل امنیتی گستردهتر و جدیتر در شبکههای آسیبدیده است.»
در این کارزار، گروه Calypso همچنین از یک بدافزار کامل ویندوزی به نام JFMBackdoor استفاده کرده که از طریق DLL side-loading تحویل داده میشود. این بدافزار قابلیتهای گستردهای از جمله دسترسی به پوسته از راه دور، عملیات فایل، پروکسی شبکه، ضبط صفحه نمایش و خودحذفی را پشتیبانی میکند.
شرکت PricewaterhouseCoopers (PwC) در گزارشی هماهنگ اعلام کرد: «هدف قرار دادن افغانستان و بخش مخابراتی آن با اهداف عملیاتی گستردهتر Red Lamassu همسو است.» این حملات نشاندهنده آسیبپذیری زیرساختهای حیاتی در منطقه و لزوم هوشیاری و همکاری بینالمللی برای مقابله با این تهدیدات است.
#امنیت_سایبری #بدافزار_لینوکس #حملات_سایبری #خاورمیانه #مخابرات #Showboat #SOCKS5 #تهدیدات_سایبری #جنگ_سایبری #زیرساخت_حیاتی
