Зловреден софтуер Melofee

Беше открито, че злонамереният софтуер, наречен Melofee, е насочен към Linux сървъри. Този неизвестен досега злонамерен софтуер се внедрява, придружен от руткит в режим на ядрото и се инсталира на пробитото устройство с помощта на команди на обвивката, подобно на други руткитове на Linux, използвани от китайската група за кибершпионаж Winnti. Пробите на Melofee, идентифицирани от изследователите на информационната сигурност, вероятно са създадени през април/май 2022 г. и споделят обща кодова база.

Различните версии на зловреден софтуер обаче показват малки разлики в комуникационния протокол, криптирането и функционалността. Последната версия на зловреден софтуер съдържа руткит в режим на ядрото, който е модифицирана версия на проект с отворен код, наречен Reptile. Руткитът Melofee има ограничена функционалност, като например инсталиране на кука, за да се скрие, и друга, за да осигури комуникация с компонента на потребителската земя, но това го прави по-невидима заплаха. Подробности за Melofee бяха публикувани от френска фирма за киберсигурност.

Инфекционната верига на Melofee Rootkit

Веригата на заразяване на този злонамерен софтуер включва няколко стъпки, които започват с изпълнението на команди на обвивката за извличане на инсталационна програма, както и персонализиран двоичен файл от сървър, контролиран от атакуващ. Инсталаторът, който е написан на C++, е отговорен за внедряването както на rootkit, така и на сървърния имплант, като гарантира, че и двата се изпълняват по време на зареждане. Веднъж инсталирани, руткитът и имплантът работят заедно, за да останат скрити от откриване и да се запазят при рестартиране.

Самият имплант има няколко възможности, включително способността да прекрати своя процес и да премахне постоянството, да се актуализира и рестартира, да създаде нов сокет за взаимодействие, да събира системна информация, да чете и записва файлове, да стартира обвивка и да управлява директории. Това го прави мощен инструмент за използване от нападателите, за да получат достъп и контрол върху системата на жертвата.

За да комуникира със сървъра за командване и управление (C&C), зловреден софтуер Melofee поддържа TCP комуникация, използвайки персонализиран пакетен формат. Той може също да използва TLS криптиран канал за обмен на данни с C&C сървъра, осигурявайки допълнителен слой на сигурност на комуникацията. Освен това злонамереният софтуер може да изпраща данни, използвайки протокола KCP, разширявайки обхвата от възможни методи за комуникация.

Смята се, че Winnti Group е била активна от десетилетия

Winnti, известен също с няколко псевдонима като APT41 , Blackfly, Barium, Bronze Atlas, Double Dragon, Wicked Spider и Wicked Panda, е прословута хакерска група, за която се смята, че е спонсорирана от китайското правителство. Групата активно стартира кибер шпионаж и финансово мотивирани атаки поне от 2007 г. Групата Winnti е отговорна за няколко високопоставени атаки срещу организации в различни сектори, включително здравеопазване, игри и технологии.

Наскоро анализът на инфраструктурата на Melofee разкри връзки с няколко други хакерски групи и техните командно-контролни (C&C) сървъри. Тези групи включват ShadowPad , Winnti и HelloBot, всички от които са били отговорни за различни атаки в миналото. Освен това инфраструктурата на Melofee също е свързана с няколко домейна, които имат