Black Lotus Labsは、「Showboat」と名付けられた非常に捕捉しにくいLinuxベースのポストエクスプロイテーションフレームワークを発見しました。2022年中頃から活動しているこの未文書化マルウェアは、中東の通信企業を標的にしています。
セキュリティ研究者たちは、中程度から高い確信度で、このフレームワークを中華人民共和国(PRC)を後ろ盾とする脅威アクターに帰属させています。
この帰属は、中国の成都に関連するコマンド&コントロール(C2)インフラと、他の既知の中国系APT(高度持続的脅威)グループと酷似した戦術に基づいています。
Showboatは典型的なドロッパーやランサムウェアではなく、侵害されたネットワークへの静かな長期アクセスを攻撃者に提供するものです。
ShowboatはAMD x86-64 LinuxシステムのELF 64ビット実行ファイルとしてコンパイルされたモジュラーフレームワークです。その最大の強みは、優れた検出回避能力にあります。
2025年5月にVirusTotalにアップロードされた際、このマルウェアは65のセキュリティエンジンすべてで検出率ゼロという結果を記録し、2026年4月まで実環境において完全に発見されないまま活動し続けました。
実行されると、ShowboatはビルトインのC2サーバーに接続して設定ファイルをダウンロードします。このファイルは、「look me, AV!」という挑発的なハードコードされたキーによる XOR暗号化で保護されています。
復号されると、設定ファイルにはサーバー通信のパラメーターが明らかになります。最小値と最大値の間でランダム化されたスリープ間隔もその一つです。
このランダム化により、マルウェアは予測可能なネットワークパターンを生成しないため、防御側が悪意のあるトラフィックを発見することがはるかに難しくなります。
設定フェーズに続いて、Showboatはハートビートビーコンを開始します。ホスト名、OSの詳細、実行中のプロセス、デスクトップのスクリーンショットなど、重要なホスト情報を収集します。
収集されたデータはC2識別子とともにJSON文字列にまとめられ、暗号化・base64エンコードされたうえで、窃取前に巧みにPNG画像フィールドに偽装されます。
Showboatにはファイル転送と永続化のための充実したリモートアクセスコマンドも備わっています。しかし、特に際立っているのが独自の「hide」コマンドです。
このコマンドが実行されると、マルウェアは脅威アクターが管理するPastebinページからCソースファイルをダウンロードします。そのファイルを被害者のマシン上で直接コンパイルし、ld.so.preloadを使って動的リンカーに注入します。
このLinuxの機能により、マルウェアはシステムコールをフックし、kworkersやautoupdateなどの特定のプロセスを、psやtopといった標準的な監視ツールから完全に隠蔽することが可能になります。
picussecurityの調査によると、Showboatのようなステルス性の高いフレームワークに対してセキュリティ制御を検証することは、強固な防御態勢を維持するうえで非常に重要です。
Picusプラットフォームを使用してこうした実際のサイバー攻撃をシミュレーションすることで、脅威アクターが足がかりを築く前に、ネットワークがこれらの高度な検出回避技術を検知・ブロックできるかどうかを確認することができます。
翻訳元: https://cyberpress.org/showboat-targets-telecom-firms/
