An ninh mạng

Showboat: Malware Linux mới nhắm vào hạ tầng viễn thông với backdoor SOCKS5

Các nhà nghiên cứu an ninh mạng vừa phát hiện Showboat, một framework malware Linux tinh vi được sử dụng trong các chiến dịch gián điệp mạng nhắm vào các nhà cung cấp viễn thông tại Trung...

Nguyen Hung
28 Tháng 5, 2026 2 Min Read
2 0

Các chuyên gia an ninh mạng tại Black Lotus Labs (Lumen Technologies) vừa công bố báo cáo về Showboat, một framework malware Linux mới được thiết kế cho mục đích gián điệp mạng. Loại mã độc này đã được ghi nhận nhắm vào các nhà cung cấp dịch vụ viễn thông tại khu vực Trung Đông từ giữa năm 2022.

Table Of Content

Khả năng của Showboat

Showboat hoạt động như một framework post-exploitation (hậu khai thác) với các tính năng mạnh mẽ bao gồm: tạo remote shell, truyền tải tệp tin và đặc biệt là khả năng hoạt động như một SOCKS5 proxy. Điều này cho phép kẻ tấn công thiết lập quyền kiểm soát bền vững, từ đó tương tác với các thiết bị nằm trong mạng nội bộ (LAN) vốn không được kết nối trực tiếp với internet.

Để duy trì sự ẩn mình, malware này sử dụng các kỹ thuật che giấu tiến trình và lấy mã thực thi từ các dịch vụ lưu trữ công cộng như Pastebin. Dữ liệu thu thập từ hệ thống bị nhiễm sẽ được mã hóa và gửi về máy chủ command-and-control (C2) dưới dạng các chuỗi ký tự Base64 ẩn trong tệp tin hình ảnh PNG.

Mối liên hệ với các nhóm APT

Dựa trên các phân tích về hạ tầng C2 và địa chỉ IP, các nhà nghiên cứu nhận định Showboat có liên quan đến các nhóm tin tặc có nguồn gốc từ Trung Quốc, điển hình là nhóm Calypso (còn gọi là Bronze Medley hoặc Red Lamassu). Đây là nhóm tội phạm mạng đã hoạt động từ năm 2016 với mục tiêu là các tổ chức chính phủ tại nhiều quốc gia.

Việc sử dụng Showboat cho thấy xu hướng “chia sẻ tài nguyên” giữa các nhóm tin tặc được nhà nước bảo trợ. Showboat gia nhập danh sách các công cụ dùng chung như PlugX, ShadowPad và NosyDoor, cho thấy sự tồn tại của một hệ thống cung ứng công cụ tấn công chuyên nghiệp dành cho các nhóm APT.

Khuyến cáo an ninh

Mặc dù phương thức xâm nhập ban đầu (initial access vector) vẫn chưa được xác định chính xác, các chuyên gia cảnh báo rằng kẻ tấn công thường khai thác các lỗ hổng zero-day hoặc các tài khoản truy cập từ xa mặc định. Ngoài các hệ thống Linux, chiến dịch này còn sử dụng một loại implant Windows có tên JFMBackdoor thông qua kỹ thuật DLL side-loading.

Sự xuất hiện của Showboat là lời nhắc nhở về tầm quan trọng của việc giám sát hạ tầng mạng chặt chẽ. Các tổ chức cần rà soát lại các điểm truy cập từ xa, cập nhật patch cho các lỗ hổng bảo mật và triển khai các giải pháp giám sát lưu lượng mạng để phát hiện sớm các hành vi bất thường từ các proxy trái phép.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept