⚡ Não perca: notícia importante no ar! ⚡
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética divulgaram detalhes de um novo malware para Linux chamado Showboat, que foi usado em uma campanha direcionada a um provedor de telecomunicações no Oriente Médio desde pelo menos meados de 2022.
“Showboat é uma estrutura modular pós-exploração projetada para sistemas Linux, capaz de gerar um shell remoto, transferir arquivos e funcionar como um proxy SOCKS5”, disse Lumen Technologies Black Lotus Labs em um relatório compartilhado com The Hacker News.
Avalia-se que o malware foi empregado por pelo menos um, e possivelmente mais, clusters de atividades de ameaças afiliados à China, com correlações identificadas entre nós de comando e controle (C2) e endereços IP geolocalizados em Chengdu, capital da província chinesa de Sichuan.
Um desses atores de ameaça é o Calypso (também conhecido como Bronze Medley e Red Lamassu), que é conhecido por estar ativo desde pelo menos setembro de 2016, visando instituições estatais no Brasil, Índia, Cazaquistão, Rússia, Tailândia e Turquia. Foi documentado publicamente pela primeira vez pela Positive Technologies em outubro de 2019.
Algumas das principais ferramentas em seu arsenal incluem PlugX e backdoors como WhiteBird e BYEBY, o último dos quais faz parte de um cluster mais amplo rastreado pela ESET sob o nome de Mikroceen. O uso do Mikroceen foi atribuído a um grupo mais próximo conhecido como SixLittleMonkeys, que, por sua vez, compartilha sobreposições táticas com outro grupo ligado à China, conhecido como Webworm.
Isso coloca o Showboat junto com outras estruturas compartilhadas como PlugX, ShadowPad e NosyDoor que foram usadas por vários grupos do nexo da China. Esta “reunião de recursos” reforça a presença de um intendente digital em quem os agentes de ameaças patrocinados pelo Estado da China têm confiado para lhes fornecer as ferramentas necessárias.
O ponto de partida da investigação foi um binário ELF que foi carregado no VirusTotal em maio de 2025, com a plataforma de verificação de malware classificando-o como um backdoor sofisticado do Linux com recursos semelhantes aos de rootkit. A Kaspersky está rastreando o artefato como EvaRAT.
O pesquisador de segurança do Black Lotus Labs, Danny Adamitis, disse ao The Hacker News que o vetor de acesso inicial exato usado para entregar o malware é atualmente desconhecido. No entanto, no passado, o Calypso foi observado aproveitando um web shell ASPX após explorar uma falha ou invadir uma conta padrão usada para acesso remoto.
O adversário também foi um dos primeiros grupos alinhados à China a transformar em arma o CVE-2021-26855, uma vulnerabilidade de segurança no Microsoft Exchange Server que serve como o primeiro passo em uma cadeia de exploração chamada ProxyLogon.
O malware foi projetado para entrar em contato com um servidor C2, coletar informações do sistema e transmitir as informações de volta ao servidor em um campo PNG como uma string criptografada e codificada em Base64. Também está equipado para fazer upload e download de arquivos de e para a máquina host, ocultar sua presença da lista de processos e gerenciar servidores C2.
Para se esconder na máquina host, o Showboat recupera um trecho de código hospedado no Pastebin. A pasta foi criada em 11 de janeiro de 2022. Além disso, o malware pode procurar outros dispositivos e conectar-se a eles por meio do proxy SOCKS5. Isto sugere que o objetivo principal do Showboat é estabelecer uma posição segura em sistemas comprometidos.
“Isso permitiria que os invasores interagissem com máquinas que não estão expostas publicamente à Internet e acessíveis apenas através da LAN”, disse o Black Lotus Labs.
Uma análise mais aprofundada da infra-estrutura revelou duas vítimas: um fornecedor de serviços de Internet (ISP) baseado no Afeganistão e outra entidade desconhecida localizada no Azerbaijão. Um cluster C2 secundário usando certificados X.509 semelhantes aos do servidor C2 original descobriu dois possíveis comprometimentos nos EUA e um na Ucrânia.
“Enquanto alguns agentes de ameaças usam cada vez mais ferramentas de sistema nativas e furtivas para evitar a detecção, outros ainda implantam implantes de malware persistentes”, disse Adamitis. “A presença de tais ameaças deve ser considerada um sinal de alerta precoce, indicando o potencial para problemas de segurança mais amplos e sérios nas redes afetadas”.
Também utilizado pela Calypso na campanha direcionada ao provedor de telecomunicações no Afeganistão está um implante do Windows com todos os recursos, codinome JFMBackdoor, entregue via carregamento lateral de DLL.
A cadeia de ataque envolve um script em lote usado para iniciar um executável legítimo que carrega a DLL não autorizada. JFMBackdoor oferece suporte a uma ampla gama de recursos, incluindo acesso remoto ao shell, operações de arquivos, proxy de rede, captura de tela e auto-remoção.
“A segmentação do Afeganistão e do seu sector de telecomunicações alinha-se com o que avaliamos ser quase certamente as metas e objectivos operacionais mais amplos da Red Lamassu”, afirmou a PricewaterhouseCoopers (PwC) num relatório coordenado.
“Showboat é uma estrutura modular pós-exploração projetada para sistemas Linux, capaz de gerar um shell remoto, transferir arquivos e funcionar como um proxy SOCKS5”, disse Lumen Technologies Black Lotus Labs em um relatório compartilhado com The Hacker News.
Avalia-se que o malware foi empregado por pelo menos um, e possivelmente mais, clusters de atividades de ameaças afiliados à China, com correlações identificadas entre nós de comando e controle (C2) e endereços IP geolocalizados em Chengdu, capital da província chinesa de Sichuan.
Um desses atores de ameaça é o Calypso (também conhecido como Bronze Medley e Red Lamassu), que é conhecido por estar ativo desde pelo menos setembro de 2016, visando instituições estatais no Brasil, Índia, Cazaquistão, Rússia, Tailândia e Turquia. Foi documentado publicamente pela primeira vez pela Positive Technologies em outubro de 2019.
Algumas das principais ferramentas em seu arsenal incluem PlugX e backdoors como WhiteBird e BYEBY, o último dos quais faz parte de um cluster mais amplo rastreado pela ESET sob o nome de Mikroceen. O uso do Mikroceen foi atribuído a um grupo mais próximo conhecido como SixLittleMonkeys, que, por sua vez, compartilha sobreposições táticas com outro grupo ligado à China, conhecido como Webworm.
Isso coloca o Showboat junto com outras estruturas compartilhadas como PlugX, ShadowPad e NosyDoor que foram usadas por vários grupos do nexo da China. Esta “reunião de recursos” reforça a presença de um intendente digital em quem os agentes de ameaças patrocinados pelo Estado da China têm confiado para lhes fornecer as ferramentas necessárias.
O ponto de partida da investigação foi um binário ELF que foi carregado no VirusTotal em maio de 2025, com a plataforma de verificação de malware classificando-o como um backdoor sofisticado do Linux com recursos semelhantes aos de rootkit. A Kaspersky está rastreando o artefato como EvaRAT.
O pesquisador de segurança do Black Lotus Labs, Danny Adamitis, disse ao The Hacker News que o vetor de acesso inicial exato usado para entregar o malware é atualmente desconhecido. No entanto, no passado, o Calypso foi observado aproveitando um web shell ASPX após explorar uma falha ou invadir uma conta padrão usada para acesso remoto.
O adversário também foi um dos primeiros grupos alinhados à China a transformar em arma o CVE-2021-26855, uma vulnerabilidade de segurança no Microsoft Exchange Server que serve como o primeiro passo em uma cadeia de exploração chamada ProxyLogon.
O malware foi projetado para entrar em contato com um servidor C2, coletar informações do sistema e transmitir as informações de volta ao servidor em um campo PNG como uma string criptografada e codificada em Base64. Também está equipado para fazer upload e download de arquivos de e para a máquina host, ocultar sua presença da lista de processos e gerenciar servidores C2.
Para se esconder na máquina host, o Showboat recupera um trecho de código hospedado no Pastebin. A pasta foi criada em 11 de janeiro de 2022. Além disso, o malware pode procurar outros dispositivos e conectar-se a eles por meio do proxy SOCKS5. Isto sugere que o objetivo principal do Showboat é estabelecer uma posição segura em sistemas comprometidos.
“Isso permitiria que os invasores interagissem com máquinas que não estão expostas publicamente à Internet e acessíveis apenas através da LAN”, disse o Black Lotus Labs.
Uma análise mais aprofundada da infra-estrutura revelou duas vítimas: um fornecedor de serviços de Internet (ISP) baseado no Afeganistão e outra entidade desconhecida localizada no Azerbaijão. Um cluster C2 secundário usando certificados X.509 semelhantes aos do servidor C2 original descobriu dois possíveis comprometimentos nos EUA e um na Ucrânia.
“Enquanto alguns agentes de ameaças usam cada vez mais ferramentas de sistema nativas e furtivas para evitar a detecção, outros ainda implantam implantes de malware persistentes”, disse Adamitis. “A presença de tais ameaças deve ser considerada um sinal de alerta precoce, indicando o potencial para problemas de segurança mais amplos e sérios nas redes afetadas”.
Também utilizado pela Calypso na campanha direcionada ao provedor de telecomunicações no Afeganistão está um implante do Windows com todos os recursos, codinome JFMBackdoor, entregue via carregamento lateral de DLL.
A cadeia de ataque envolve um script em lote usado para iniciar um executável legítimo que carrega a DLL não autorizada. JFMBackdoor oferece suporte a uma ampla gama de recursos, incluindo acesso remoto ao shell, operações de arquivos, proxy de rede, captura de tela e auto-remoção.
“A segmentação do Afeganistão e do seu sector de telecomunicações alinha-se com o que avaliamos ser quase certamente as metas e objectivos operacionais mais amplos da Red Lamassu”, afirmou a PricewaterhouseCoopers (PwC) num relatório coordenado.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #malware #showboat #linux #atinge #o #oriente #médio #telecom #com #backdoor #proxy #socks5
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário