「Showboat」マルウェア、Pastebin上のCコードを悪用してLinuxプロセスを隠蔽

これまで報告されていなかったモジュール型のLinux侵害後フレームワークが発見されました。このマルウェアは高度なステルス技術を駆使しており、最大の特徴はPastebinにホストされたCのソースコードをダウンロード・コンパイルし、実行時にプロセスを隠蔽する点にあります。

「Showboat」は2022年半ばから活動しており、AMD x86‑64アーキテクチャのLinuxホストを標的としています。2026年4月まで一切のウイルス対策ソフトに検出されず、2025年5月時点でも65のエンジン全てでゼロ検出を記録していました。

標的は一貫して絞り込まれており、中東の電気通信企業が対象となっています。Black Lotus Labsは、C2インフラが成都と関連していること、および既知の中国系APTツールセットとの行動上の類似点を根拠に、中程度から高い確度でこのフレームワークを中国政府系アクターに帰属させています。

技術的には、ShowboatはELF 64ビット実行ファイルであり、まずC2から暗号化された設定ファイルを取得することで動作を開始します。この設定ファイルにはハードコードされたキー（「look me, AV!」）による単純なXOR暗号が使用されています。シンプルな手法ながら、ペイロードの取得とパッケージングが永続的かつ明白な痕跡を残さない構造になっているため、シグネチャベースの検出を回避することに成功していました。

復号された設定にはC2エンドポイント、ポート番号、ランダム化されたビーコンタイミングパラメータ（最小・最大スリープ時間、より遅い「ステルス」モード）が含まれています。これにより一定周期のネットワークパターンが排除され、検出をより困難にしています。

Black Lotus LabsがGBhackersと共有したレポートによると、Showboatは単発のドロッパーや破壊的なランサムウェアではなく、高価値ネットワーク内に長期間かつ静粛に潜伏し続けることを目的とした持続的リモートアクセス基盤であるとしています。

設定取得後、Showboatは詳細なハートビートデータを収集します。具体的には、ホスト名やOSリリース情報といったホストメタデータ、プロセス一覧、自身のプロセスメタデータ、さらにはスクリーンショットも含まれます。

このテレメトリデータはJSON形式に整形され、UUIDから派生した素材で部分的に暗号化、Base64エンコードされたうえで、PNGフィールドに埋め込まれてから外部へ送信されます。

ビーコンデータを一見無害な画像構造に紛れ込ませる手法は、非常に効果的な回避策です。多くのネットワーク検査パイプラインはPNGの補助フィールドをコマンドトラフィックの運搬手段とはみなさないため、ビーコンデータは正規の画像トラフィックに溶け込むことができます。

PastebinホストのCコードを利用するShowbotマルウェア

オペレーターによる制御は、ファイル転送、ディレクトリ操作、永続化といった一般的なRATコマンドセットを通じて行われますが、Showboatの最大の特徴はプロセス隠蔽コマンドにあります。

隠蔽命令を受信すると、このフレームワークはPastebinのrawページからCのソースファイルをダウンロードし、ローカルで共有オブジェクトにコンパイルしたうえで、ld.so.preloadメカニズムを悪用してそのライブラリをプロセスのアドレス空間に早期ロードさせます。

注入されたライブラリはディレクトリおよびプロセス列挙関数（readdirなど）をフックし、ハードコードされたリスト（回収されたエントリの例として「kworkers|dbus|autoupdate」など）に含まれるプロセス名をフィルタリングすることで、一般的なシステムユーティリティによる対象プロセスの一覧表示を阻止します。

公開ペーストサービスからソースコードを取得し、gccでコンパイルし、/etc/ld.so.preload経由で永続化するというオンホストコンパイルワークフローは注目に値します。悪意ある実装をオフサイトにホストされた一時的かつ容易に変更可能なコードへ移すことで、初期インプラントに含まれるバイナリのフットプリントを削減し、静的検出の回避能力を高めているからです。また、ペーストサービスを利用することでコードフラグメントを素早く入れ替えられるため、帰属分析やテイクダウンも困難になります。

防御担当者にとって、Showboatはいくつかの実践的な対策の重要性を示しています。gccの予期しない使用や一時ディレクトリへの共有オブジェクト生成を監視・アラート化すること、/etc/ld.so.preloadへの書き込みやローダー設定への不審なエントリを監視すること、画像がペリメータプロキシを通過する際にPNGペイロードと補助フィールドを検査すること、そして既知の悪意あるペーストサービスやC2ホストへのエグレスフィルタリングを適用することが求められます。

エンドポイント検出においては、インメモリの関数フックや、稼働中ホスト上での急速なコンパイルアクティビティに対するヒューリスティックを組み込むことが重要です。

Picus Securityは、Showboatのシミュレーションをネットワーク侵入およびメール侵入モジュールのThreat Libraryに追加しました。これにより各組織は、このフレームワークの挙動に対するコントロールの有効性を検証し、特有の侵害指標（XOR設定転送、PNGに埋め込まれたビーコン、Pastebinを介したCコード、ld.so.preloadの悪用）の検出訓練を行うことができます。