Showboat Malware
サイバーセキュリティ研究者らは、Showboatと呼ばれるこれまで未公開だったLinuxマルウェアフレームワークを発見した。このマルウェアは、少なくとも2022年半ば以降、中東の通信事業者に対して積極的に展開されていた。このマルウェアは、モジュール式のポストエクスプロイトツールキットとして動作し、侵害された環境内でリモートシェルアクセス、ファイル転送、SOCKS5プロキシとしての機能を実現できる。
セキュリティアナリストらは、このマルウェアが中国関連の脅威クラスターに1つ以上関連していると考えている。調査官らは、マルウェアのコマンド&コントロール(C2)インフラと、中国四川省の省都である成都に由来するIPアドレスとの関連性を特定し、中国政府が関与しているという疑念を強めている。
目次
確立された中国関連の脅威作戦とのつながり
この活動に関与しているグループの一つに、ブロンズ・メドレーやレッド・ラマッスとも呼ばれるカリプソ(Calypso)がある。この脅威アクターは少なくとも2016年9月から活動しており、これまでブラジル、インド、カザフスタン、ロシア、タイ、トルコの政府機関や公共機関を標的にしてきた。このグループに関する報道が初めて公になったのは2019年で、ポジティブ・テクノロジーズが発表した調査報告書によるものだった。
Calypsoはこれまで、PlugXなどのマルウェアファミリーに加え、WhiteBirdやBYEBYといったバックドアを利用してきた。BYEBYマルウェアは、Mikroceenと呼ばれる大規模な攻撃グループに属しており、このグループはSixLittleMonkeysという脅威グループとも関連付けられている。研究者らはさらに、SixLittleMonkeysと、Webwormとして知られる中国と連携した別の攻撃グループとの間に、戦術的な類似点があることを指摘した。
ShowboatがPlugX、ShadowPad、NosyDoorといった共有フレームワークと並んで出現したことは、中国と関係のある脅威アクターの間でより広範な傾向を示している。それは、複数のスパイグループ間で攻撃的なサイバーツールを再利用・配布するという傾向である。このパターンは、国家支援を受けた工作員にマルウェアや作戦リソースを供給する中央集権的な「デジタル補給係」の存在を強く示唆している。
Linuxの高度なバックドア機能が深刻な懸念を引き起こす
調査は、研究者らが2025年5月にアップロードされたELFバイナリを分析したことから始まった。このバイナリは当初、ルートキットのような機能を備えた高度なLinuxバックドアとして分類されていた。このマルウェアサンプルはEvaRATという名称でも追跡されている。
正確な感染経路は不明だが、過去のCalypsoによる侵入では、脆弱性を悪用したり、デフォルトのリモートアクセスアカウントを侵害したりした後に、ASPXウェブシェルを展開していた。また、このグループは、悪名高いProxyLogonエクスプロイトチェーンの初期段階を形成したMicrosoft Exchange Serverの脆弱性CVE-2021-26855を悪用した初期の中国の脅威アクターの一つでもあった。
Showboatは、リモートC2サーバーとの通信を確立し、詳細なシステム情報を収集し、収集したデータを暗号化されBase64エンコードされた形式でPNGフィールド内に隠して送信するように設計されています。このマルウェアは、以下のようなさまざまなステルス機能と運用機能もサポートしています。
- ファイルアップロードおよびダウンロード機能
- プロセス隠蔽技術
- C2サーバー管理
- 内部ネットワークスキャン
- 横方向の移動のためのSOCKS5プロキシトンネル
Showboatは、侵害されたホスト上での検出を回避するため、Pastebinからコードスニペットを取得しており、研究者らはホストされているコンテンツを2022年1月11日まで遡って追跡している。アナリストらは、このマルウェアの主な目的は、標的となるネットワーク、特にインターネットへの直接的な露出から隔離され、内部LAN接続を介してのみアクセス可能なシステム内で、永続的なアクセスを確保することだと考えている。
インフラ整備の拡大により、国際的な被害者が明らかに
脅威インフラのさらなる調査により、複数の地域にまたがる複数の被害組織が明らかになった。研究者らは、アフガニスタンに拠点を置くインターネットサービスプロバイダーと、アゼルバイジャンに所在する身元不明の組織を特定した。また、同様のX.509証明書を共有するC2サーバーの二次クラスターは、米国とウクライナの組織にも影響を及ぼす可能性のある侵害を示唆している。
持続的なマルウェアの侵入が続いていることは、多くの攻撃者がより巧妙な「既存システムからの脱却」手法を多用しているにもかかわらず、高度な攻撃グループは依然として長期的なアクセスと運用制御のためにカスタムバックドアに大きく依存していることを示している。セキュリティ専門家は、Showboatのようなマルウェアの発見は、影響を受けたネットワーク内でより広範な侵害が発生している可能性を示す重要な指標として扱うべきだと警告している。
JFMBackdoorはLinuxシステム以外にもキャンペーンを拡大
Showboatに加え、研究者らはCalypsoがアフガニスタンの通信セクターを標的とした攻撃において、JFMBackdoorと呼ばれるフル機能のWindowsマルウェアを仕込んでいることも確認した。このマルウェアはDLLサイドローディングという手法を用いて配信される。これは正規のアプリケーションを悪用して悪意のあるダイナミックリンクライブラリを読み込む手法である。
感染経路は、信頼できる実行ファイルを起動するバッチスクリプトから始まり、その後、不正なDLLペイロードがロードされます。JFMBackdoorはアクティブになると、攻撃者に侵害されたシステムに対する広範な操作制御権限を与えます。その機能には以下が含まれます。
- リモートシェル実行
- ファイル管理操作
- ネットワークプロキシ機能
- スクリーンショット
- 自己除去機構
アフガニスタンとその通信インフラに焦点を当てていることは、これまでレッド・ラマッス作戦に関連付けられてきたより広範な戦略目標と密接に一致しており、この作戦が中国の脅威活動に関連した大規模なサイバー諜報活動の一環であるという評価を裏付けている。
