Кинески хакери таргетираат телекомуникациски компании со нов Linux и Windows малициозен софтвер

Кинеска кампања за сајбер-шпионажа таргетира телекомуникациски провајдери со новооткриен Linux и Windows малициозен софтвер наречен Showboat и JFMBackdoor, соодветно.

Операцијата е активна најмалку од средината на 2022 година и таргетира организации низ Азија-Пацификот и делови од Блискиот Исток. Таа е припишана на групата за закани Calypso, позната и како Red Lamassu.

Според истражувачите од Lumen’s Black Lotus Labs и PwC Threat Intelligence, напаѓачите поставиле и користеле повеќе домени поврзани со телекомуникации за да ги имитираат своите цели.

Showboat Linux малициозниот софтвер

Linux имплантот што Calypso го користи во овие напади, наречен Showboat/kworker, е модуларна рамка за пост-експлоатација изградена за долгорочна перзистентност по иницијалното компромитирање. Почетниот вектор на инфекција е непознат.

Според денешниот извештај од Black Lotus Labs, откако Showboat ќе биде инсталиран на целниот систем, тој започнува да собира информации за хостот и ги испраќа до сервер за команда и контрола (C2).

Малициозниот софтвер може исто така да прикачува или презема датотеки, да го сокрива сопствениот процес и да воспостави перзистентност преку нов сервис.

„Една значајна карактеристика е командата ‘hide’, која му овозможува на процесот да се сокрие на хост машината преку преземање код зачуван на надворешни веб-страници како Pastebin или онлајн форуми, кои се користат како ‘dead drop’,“ објаснуваат истражувачите од Lumen’s Black Lotus Labs.

Нејзината најзначајна функција е дејствување како SOCKS5 прокси и точка за пренасочување на порти (port-forwarding pivot point), служејќи како почетна точка на компромитираните уреди и овозможувајќи им на напаѓачите да се префрлаат на други системи во внатрешната мрежа.

JMFBackdoor Windows малициозниот софтвер

Истражувачите од PwC Threat Intelligence го анализирале синџирот на инфекција на Red Lamassu на Windows и забележале дека тој започнува со извршување на batch скрипта која поставува payload-датотеки за да иницира DLL-sideloading процедура (fltMC.exe + FLTLIB.dll). На крајот, се вчитува финалниот payload наречен JMFBackdoor.

Според истражувачите, JFMBackdoor е целосно опремен Windows шпионски имплант со следните можности:

• Reverse shell пристап — Далечинско извршување команди на инфицираниот компјутер.
• Управување со датотеки — Прикачување, преземање, изменување, преместување и бришење датотеки.
• TCP проксирање — Користење на системот на жртвата како мрежен посредник за пристап до внатрешни системи.
• Управување со процеси/сервиси — Стартување, запирање, креирање или прекинување процеси и сервиси.
• Манипулација со Registry — Измена на Windows registry клучеви и вредности.
• Снимање екран (Screenshot capture) — Правење слики од екранот на жртвата и нивно енкриптирање за ексфилтрација.
• Управување со енкриптирани конфигурации — Чување и ажурирање на поставките на малициозниот софтвер во енкриптирани конфигурациски датотеки.
• Самоотстранување и анти-форензика — Сокривање активности, отстранување на перзистентност и бришење траги.

Анализата на инфраструктурата укажува дека хакерите следат делумно децентрализиран оперативен модел, при што повеќе кластери користат слични шаблони за генерирање сертификати и алатки, но таргетираат различни групи жртви.

Lumen заклучува дека алатките најверојатно се споделуваат меѓу повеќе кинески групи за сајбер-закани, при што секоја таргетира различни региони и го користи истиот екосистем на малициозен софтвер.

Извори:

• Bleeping Computer – Chinese hackers target telcos with new Linux, Windows malware Bleeping Computer