中国の国家支援脅威団体Red Lamassuとして知られる組織は、アジア全域の中核的な電気通信インフラストラクチャー内に永続的な秘密拠点を確立するために長年を費やしてきました。最近の脅威インテリジェンスデータにより、彼らの活動が2つの高度に専門化されたサイバースパイツールと明確に相互関連していることが確認されました:Showboatと指定されたLinuxネイティブマルウェア株、およびJFMBackdoorとして分類された洗練されたWindowsバックドア。単なる初期アクセスベクトルとしてではなく、これらの並列侵入コンポーネントは、敵対者に長期的なインフラストラクチャー永続性、シームレスなファイル流出機能、遠隔コマンド実行、および公開インターネットから隠されている高価値の内部ネットワークセグメントへの横展開能力を付与するように設計されています。
Showboat異常:Linuxカーネルにおけるステルスと長寿命
ShowboatマルウェアはもともとLumen TechnologiesのBlack Lotus Labs脅威研究部門によって分離されました。テレメトリーは、このLinux焦点のツールが少なくとも2022年中盤以降積極的に展開されていることを示しています。顕著な防御回避特性を示すものであり、2025年5月にサンプルが公開リポジトリVirusTotalにコミットされた際、いかなるエンドポイント保護エンジン定義もトリガーできませんでした。ローカライズされた署名変更の短期間を経た後、マルウェアは2026年4月までに再び完全なゼロ検出状態を達成しました。
被害者環境内での初期化時に、Showboatはコマンド&コントロール(C2)インフラストラクチャーとのアウトバウンド通信チャネルを確立して、ランタイムパラメータを取得し、ハードウェアとオペレーティングシステムメタデータを集約し、アクティブなグラフィカルディスプレイ出力をキャプチャし、この構造的調査を調整者に流出させます。アーキテクチャは、システム管理者からの実行を隠蔽するための高度なプロセス隠蔽メカニズムを組み込んでいます。さらに、ファイルトランスポートプロトコルを実装し、ネイティブシステムデーモンとしてインストールし、ターゲットC2ルーティングを動的に適応させ、埋め込まれたSOCKS5プロキシとして機能することができます。このプロキシ機能は電気通信プロバイダーに深刻なリスク要因をもたらします。感染したエッジルーティングインフラストラクチャーを、内部の孤立したコアネットワークへのスプリングボードに変換するためです。
Black Lotus Labsはその戦略的目標を反映して、Showboatが中国の地政学的利益に整合した1つまたは複数の洗練された脅威マトリックスによって利用されていると主張しています。キャンペーンは中東内で操業する著名な電気通信ベンダーの侵害に成功し、東南アジアのネットワーキング企業の正当なデジタル署名と密接に模倣したコマンドアーキテクチャを活用しました。インテリジェンスブリーフ内で特定された認証されたターゲットには、アフガニスタンの重要なインターネットサービスプロバイダーとアゼルバイジャン内の主要企業ネットワークが含まれています。
JFMBackdoorとRed Lamassu接続:コア操作の解明
PwC脅威インテリジェンスにより発表された並列調査報告書は、この広範なデジタルキャンペーンをRed Lamassuに関連付けています。Red Lamassuは、Calypsoというエイリアスの下でしばしば追跡されている脅威シンジケートです。PwCは、この脅威グループが2019年以来少なくとも操作的速度を維持し、アジア太平洋劇場全体で一貫して電気通信インフラストラクチャーと主権政府省庁を優先順位付けしており、カザフスタン、アフガニスタン、インドに重い集中がありました。
PwC分析官は、悪意のあるサーバー座標23.27.201[.]160でホストされた強化されていない開いているディレクトリを発見しました。このオープンリポジトリは、Windows アーキテクチャを侵害するように設計されたステージングツールの配列と、kworkerという名前のLinuxマルウェアの現在のサンプルを公開しました。これはLumenが Showboatとして特定したバイナリと正確に対応しています。このツールキットのフラグシップWindowsベースのコンポーネントはJFMBackdoorと指定されています。
このマルウェアは、古典的なDLLサイドローディング脆弱性を利用して、正当なオペレーティングシステムプロセスをハイジャックし、高権限実行メモリ空間を取得します。一度操作可能になると、JFMBackdoorはそのオペレーターに管理機能の広大なスイートを付与します:
- リモートシェル実行:ローカルカーネルを操作するための対話的なコマンドライン環境を調整する。
- ファイルシステム操作:バイナリ配列を体系的に収集、変更、またはアップロードする。
- ネットワークプロキシルーティング:内部テレメトリーを隠蔽するための横展開ネットワークトラフィックをカプセル化する。
- 視覚的偵察:定期的で自動化されたスクリーンキャプチャルーチンを実行する。
- プロセスおよびサービスガバナンス:防御アプリケーションを終了し、不正なバックグラウンドデーモンをインストールする。
- レジストリ破壊:ネイティブWindowsレジストリハイブを書き換えて永続実行ループを維持する。
- フォレンジック対策クレンジング:侵入の痕跡を排除するためにシステムイベントログの選択的パージを自動化する。
インフラストラクチャー収束:敵対的足跡の検証
独立した研究論文間の相互関係は、脅威インフラストラクチャー全体で発見された明確なアーキテクチャ共通点によって確実にされます。具体的には、両方の研究チームが一致した異常な自己署名SSL/TLS証明書を分離し、「My Organization」というラベルの付いた汎用メタデータフィールドを含むものです。さらに、広範なドメイン追跡により、C2 IPルーティングおよび登録動作における重大なオーバーラップが明らかになりました。マスター第2階層リレーまたはマルウェア作成者によって使用されるライブテスト環境のいずれかとして疑われている1つの重大なアップストリームノードは、China Unicomに属するインフラストラクチャーに地理的に配置され、成都地域に直接マッピングされました。
電気通信プロバイダーは、国家支援スパイ活動シンジケートの最優先で高価値の目標として存在し続けます。これらの広大な配布フレームワークは、数千の二次企業および政府ネットワークに属する音声テレメトリー、グローバルインターネットデータストリーム、および高権限管理トンネルを集約します。その結果、マスタープロバイダーの単一の境界違反は、敵対者にカスケード型ダウンストリームサプライチェーン侵害を実行するために必要なレバレッジを備えています。Red Lamassuの場合、セキュリティコミュニティは、Linuxサーバー、コア境界ルーター、およびWindowsワークステーションを相互接続された戦術的前哨基地として熟練して利用して、インテリジェンス作戦を実施し、主権ネットワークの深さに浸透する成熟した、長期的なキャンペーンを目撃しています。
翻訳元: https://meterpreter.org/red-lamassu-cyber-espionage-telecom-malware/
