Showboat: Yeni Tehdit
Güvenlik araştırmacıları, 2022’nin ortalarından beri Orta Doğu’daki bir telekomünikasyon sağlayıcısını hedef alan Showboat adında yeni bir Linux kötü amaçlı yazılımı hakkında detaylar açıkladı. Bu zararlı yazılım, yalnızca belirli bir grup tehdit aktörü tarafından kullanılmıyor, aynı zamanda uluslararası diğer gruplarla da bağlantılı.
Saldırı Nasıl Çalışıyor?
Showboat, Linux sistemleri için tasarlanmış, modüler bir post-exploitation çerçevesidir. Aşağıdaki işlevleri gerçekleştirebiliyor:
- Uzaktan komut çalıştırma (remote shell) oluşturma
- Dosya transferi yapma
- SOCKS5 proxy olarak işlev görme
Kötü amaçlı yazılım, bir C2 sunucusuna bağlanarak sistem bilgilerini toplar ve şifrelenmiş bir PNG alanında sunucuya iletir. Ayrıca, dosyaları yükleyip indirebilir ve kendisini işlemler listesinden gizleyebilir.
Etkilenen Sistemler
Bu kötü amaçlı yazılımın, Çin’le ilişkili bir veya daha fazla tehdit aktivite grubu tarafından kullanıldığı değerlendirilmektedir. C2 sunucuları ile ilişkili IP adresleri, Çin’in Sichuan bölgesi, Chengdu şehrine ait bulunmuştur. Showboat, PlugX, ShadowPad ve NosyDoor gibi diğer çerçevelerle benzerlik göstermektedir.
- Afganistan merkezli bir internet servis sağlayıcısı
- Bulunduğu yeri bilmeyen bir varlık, Azerbaycan
Ayrıca, ABD ve Ukrayna’da da olası iki ek kazanım tespit edilmiştir.
Çözüm ve Korunma
Showboat’ın varlığı, etkilenen ağlar için daha geniş ve ciddi güvenlik sorunlarının işareti olabilmektedir. Kullanıcıların alması gereken önlemler şunlardır:
- Sistem güncellemeleri yapın.
- Ağınızdaki portları kapatın ve başka erişim yöntemlerini sınırlandırın.
- Güvenlik duvarlarını ve izleme sistemlerini geliştirin.
Uzmanlar, tehdit aktörlerinin dikkat çekmemek için sistemin yerel araçlarını kullandığını da belirtmektedir. Bu nedenle, sistemlerinizi sürekli izleyin ve yapılandırmalarınızı gözden geçirin.
