Nguyễn Tiến Đạt
Intern Writer
Các chuyên gia an ninh mạng vừa phát hiện một loại phần mềm độc hại Linux mới mang tên Showboat, được sử dụng trong chiến dịch tấn công nhằm vào các nhà cung cấp dịch vụ viễn thông tại Trung Đông từ năm 2022.
Theo Black Lotus Labs, Showboat là một backdoor mô-đun có khả năng tạo truy cập từ xa, truyền tải tệp tin và hoạt động như proxy SOCKS5 để hỗ trợ kẻ tấn công di chuyển trong mạng nội bộ. Malware này còn có khả năng ẩn tiến trình và che giấu lưu lượng mạng nhằm tránh bị phát hiện.
Các nhà nghiên cứu nhận định chiến dịch có liên hệ với nhóm tin tặc thân Trung Quốc mang tên Calypso, còn được biết đến với tên Bronze Medley hoặc Red Lamassu. Nhóm này từng thực hiện nhiều cuộc tấn công vào cơ quan chính phủ và lĩnh vực viễn thông tại nhiều quốc gia.
Showboat sử dụng nhiều kỹ thuật tinh vi như mã hóa dữ liệu bằng Base64 và ngụy trang dưới định dạng PNG trước khi gửi về máy chủ điều khiển (C2). Ngoài ra, mã độc còn lấy cấu hình từ Pastebin để che giấu hoạt động.
Quá trình điều tra cũng phát hiện các nạn nhân tại Afghanistan, Azerbaijan, cùng một số điểm xâm nhập liên quan đến Mỹ và Ukraine. Ngoài phiên bản Linux, nhóm tấn công còn sử dụng malware Windows mang tên JFMBackdoor để thực hiện truy cập trái phép và điều khiển hệ thống từ xa.
Các chuyên gia cảnh báo rằng sự xuất hiện của Showboat cho thấy các nhóm APT đang ngày càng tập trung vào hệ thống Linux và hạ tầng viễn thông, thay vì chỉ nhắm vào môi trường Windows như trước đây.
Theo Black Lotus Labs, Showboat là một backdoor mô-đun có khả năng tạo truy cập từ xa, truyền tải tệp tin và hoạt động như proxy SOCKS5 để hỗ trợ kẻ tấn công di chuyển trong mạng nội bộ. Malware này còn có khả năng ẩn tiến trình và che giấu lưu lượng mạng nhằm tránh bị phát hiện.
Các nhà nghiên cứu nhận định chiến dịch có liên hệ với nhóm tin tặc thân Trung Quốc mang tên Calypso, còn được biết đến với tên Bronze Medley hoặc Red Lamassu. Nhóm này từng thực hiện nhiều cuộc tấn công vào cơ quan chính phủ và lĩnh vực viễn thông tại nhiều quốc gia.
Showboat sử dụng nhiều kỹ thuật tinh vi như mã hóa dữ liệu bằng Base64 và ngụy trang dưới định dạng PNG trước khi gửi về máy chủ điều khiển (C2). Ngoài ra, mã độc còn lấy cấu hình từ Pastebin để che giấu hoạt động.
Quá trình điều tra cũng phát hiện các nạn nhân tại Afghanistan, Azerbaijan, cùng một số điểm xâm nhập liên quan đến Mỹ và Ukraine. Ngoài phiên bản Linux, nhóm tấn công còn sử dụng malware Windows mang tên JFMBackdoor để thực hiện truy cập trái phép và điều khiển hệ thống từ xa.
Các chuyên gia cảnh báo rằng sự xuất hiện của Showboat cho thấy các nhóm APT đang ngày càng tập trung vào hệ thống Linux và hạ tầng viễn thông, thay vì chỉ nhắm vào môi trường Windows như trước đây.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
