Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Showboat Linux Malware Hits Middle East Telecom with SOCKS5 Proxy Backdoor

1 minute de lecture

Mis à jour :

Analyse du malware Linux « Showboat » ciblant les télécoms

Points clés

  • Menace : Découverte de Showboat, un framework de post-exploitation modulaire pour systèmes Linux, utilisé contre des opérateurs télécoms au Moyen-Orient et en Asie centrale depuis 2022.
  • Origine : Les infrastructures de commande et contrôle (C2) et les outils utilisés pointent vers des groupes de menace liés à la Chine (notamment Calypso/Bronze Medley/Red Lamassu).
  • Modus Operandi : Le malware agit comme une porte dérobée (backdoor) permettant l’accès distant, le transfert de fichiers et l’établissement de proxys SOCKS5 pour pivoter au sein des réseaux locaux (LAN).
  • Infrastructure : Le malware utilise des techniques de dissimulation avancées (masquage dans la liste des processus, récupération de code sur Pastebin) et communique via des données encodées en Base64 dissimulées dans des champs de fichiers PNG.
  • Diversification : Les attaquants déploient également JFMBackdoor sur les systèmes Windows via le chargement latéral de DLL (DLL side-loading).

Vulnérabilités associées

  • CVE-2021-26855 (ProxyLogon) : Bien que le vecteur d’accès initial de Showboat reste inconnu, les groupes impliqués utilisent historiquement cette faille Microsoft Exchange pour l’intrusion initiale.

Recommandations

  • Surveillance réseau : Détecter les connexions sortantes suspectes vers des C2 inconnus et surveiller le trafic SOCKS5 anormal au sein du réseau interne.
  • Gestion des accès : Sécuriser les comptes distants (éviter les comptes par défaut) et durcir les accès aux serveurs Exchange pour prévenir l’exploitation de failles connues.
  • Intégrité des systèmes : Auditer régulièrement les processus en cours pour identifier d’éventuels comportements de type rootkit.
  • Analyse de fichiers : Surveiller le chargement latéral de DLL sur les endpoints Windows et bloquer l’exécution de scripts suspects.
  • Veille : Prendre la présence de tels implants comme un signal d’alerte critique indiquant une compromission plus large du réseau nécessitant une réponse immédiate.

Source

Vous pourriez aimer