Een Chinese cyberespionagecampagne richt zich op telecomproviders met recent ontdekte Linux- en Windows-malware, Showboat en JFMBackdoor genoemd.

Deze operatie, sinds medio 2022 actief, heeft organisaties in de Azië-Pacific en delen van het Midden-Oosten aangevallen. Het is toegeschreven aan de Calypso-groep, ook bekend als Red Lamassu.

Onderzoekers van Lumen’s Black Lotus Labs en PwC Threat Intelligence ontdekten dat de aanvallers meerdere telecom-gerelateerde domeinen gebruikten om hun doelwitten na te bootsen.

Showboat Linux-malware

De Linux-malware Showboat, ook wel kworker genoemd, is een modulaire post-exploitatie tool die is ontworpen voor langdurige aanwezigheid na een eerste inbraak. Hoe de initiële infectie plaatsvindt, is onbekend.

Volgens een recente rapportage van Black Lotus Labs begint Showboat, eenmaal geïnstalleerd, met het verzamelen van hostinformatie die naar een command-and-control (C2) server wordt gestuurd.

De malware kan ook bestanden uploaden of downloaden, zijn processen verbergen en blijvende aanwezigheid creëren via een nieuwe service.

"Een opvallende functie is het ‘verbergen’-commando, waarmee een proces zichzelf op een host kan verstoppen door code op te halen van externe websites zoals Pastebin," leggen onderzoekers van Lumen’s Black Lotus Labs uit.

De belangrijkste functie van de malware is het optreden als een SOCKS5-proxy en port-forwarding-punt, wat de aanvallers helpt om zich verder in het netwerk te verplaatsen.

JMFBackdoor Windows-malware

Onderzoekers van PwC Threat Intelligence analyseerden de Windows-aanvalsketen van Red Lamassu, die begint met de uitvoering van een batchscript dat payloads inzet voor een DLL-sideloading procedure. Uiteindelijk wordt de payload JMFBackdoor geladen.

JFMBackdoor is een volledige Windows-spionage-inplant met mogelijkheden zoals:

• Reverse shell toegang voor het uitvoeren van commando’s op geïnfecteerde machines.
• Bestandsbeheer om bestanden te uploaden, downloaden, aanpassen, verplaatsen en verwijderen.
• TCP-proxying, waardoor het systeem als netwerkdoorgang fungeert.
• Proces- en servicemanagement om processen te starten, stoppen of verwijderen.
• Registaraanpassing voor het wijzigen van Windows-registersleutels.
• Schermafbeeldingen maken van de desktop, die versleuteld worden voor exfiltratie.
• Versleuteld configuratiemanagement om malware-instellingen te bewaren.
• Zichzelf verwijderen en anti-forensica om sporen te wissen.

Analyseresultaten wijzen op een gedeeltelijk gedecentraliseerd model, waarbij meerdere clusters soortgelijke gereedschappen gebruiken, maar verschillende doelwitten aanvallen.

Lumen concludeert dat de hulpmiddelen waarschijnlijk worden gedeeld door verschillende aan China gelieerde dreigingsgroepen, ieder gericht op verschillende regio’s met hetzelfde malware-ecosysteem.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.