Melofee البرامج الضارة

تم اكتشاف البرامج الضارة التي يطلق عليها اسم Melofee لاستهداف خوادم Linux. يتم نشر هذا البرنامج الضار غير المعروف سابقًا مصحوبًا ببرنامج rootkit لوضع kernel ويتم تثبيته على الجهاز الذي تم اختراقه باستخدام أوامر shell ، على غرار برامج rootkits الأخرى في Linux التي تستخدمها مجموعة التجسس الإلكتروني الصينية Winnti. من المحتمل أن تكون عينات ميلوفي التي حددها باحثو إنفوسيك قد تم إنشاؤها في أبريل / مايو 2022 وتشترك في قاعدة رمز مشتركة.

ومع ذلك ، تظهر الإصدارات المختلفة من البرامج الضارة اختلافات طفيفة في بروتوكول الاتصال والتشفير والوظائف. يحتوي أحدث إصدار من البرنامج الضار على rootkit لوضع kernel ، وهو نسخة معدلة من مشروع مفتوح المصدر يسمى Reptile. يتمتع برنامج Melofee rootkit بوظائف محدودة ، مثل تثبيت خطاف لإخفاء نفسه وآخر لضمان الاتصال بمكون userland ، ولكن هذا يجعله تهديدًا خفيًا. تم نشر تفاصيل حول Melofee من قبل شركة الأمن السيبراني الفرنسية.

سلسلة العدوى في Melofee Rootkit

تتضمن سلسلة الإصابة لهذا البرنامج الضار عدة خطوات ، تبدأ بتنفيذ أوامر shell لجلب برنامج التثبيت بالإضافة إلى ثنائي مخصص من خادم يتحكم فيه المهاجم. المثبت ، المكتوب بلغة C ++ ، مسؤول عن نشر كل من rootkit والغرسة في الخادم ، مما يضمن تنفيذ كليهما في وقت التمهيد. بمجرد التثبيت ، يعمل برنامج rootkit والغرسة معًا ليظلوا مخفيين عن الاكتشاف ويستمرون في عمليات إعادة التشغيل.

الغرسة نفسها لديها العديد من القدرات ، بما في ذلك القدرة على إنهاء عمليتها وإزالة المثابرة ، وتحديث نفسها وإعادة التشغيل ، وإنشاء مقبس جديد للتفاعل ، وجمع معلومات النظام ، وقراءة الملفات وكتابتها ، وتشغيل قذيفة ، وإدارة الدلائل. وهذا يجعلها أداة قوية يستخدمها المهاجمون للوصول إلى نظام الضحية والتحكم فيه.

للتواصل مع خادم الأوامر والتحكم (C&C) ، تدعم البرامج الضارة Melofee اتصال TCP باستخدام تنسيق حزمة مخصص. يمكنه أيضًا استخدام قناة TLS المشفرة لتبادل البيانات مع خادم القيادة والتحكم ، مما يوفر طبقة إضافية من الأمان للاتصال. بالإضافة إلى ذلك ، يمكن للبرامج الضارة إرسال البيانات باستخدام بروتوكول KCP ، مما يوسع نطاق طرق الاتصال الممكنة.

يعتقد أن مجموعة Winnti كانت نشطة منذ عقود

Winnti ، المعروف أيضًا بالعديد من الأسماء المستعارة مثل APT41 و Blackfly و Barium و Bronze Atlas و Double Dragon و Wicked Spider و Wicked Panda ، هي مجموعة قرصنة سيئة السمعة يعتقد أنها ترعاها الحكومة الصينية. بدأت المجموعة بنشاط في إطلاق التجسس السيبراني والهجمات ذات الدوافع المالية منذ عام 2007 على الأقل. كانت مجموعة Winnti مسؤولة عن العديد من الهجمات البارزة ضد المنظمات في مختلف القطاعات ، بما في ذلك الرعاية الصحية والألعاب والتكنولوجيا.

في الآونة الأخيرة ، كشف تحليل البنية التحتية لـ Melofee عن اتصالات مع العديد من مجموعات القرصنة الأخرى وخوادم القيادة والسيطرة (C&C) الخاصة بهم. تتضمن هذه المجموعات ShadowPad و Winnti و HelloBot ، وكلها كانت مسؤولة عن هجمات مختلفة في الماضي. بالإضافة إلى ذلك ، تم أيضًا ربط البنية التحتية لـ Melofee بالعديد من المجالات التي لها