মেলোফি ম্যালওয়্যার

লিনাক্স সার্ভারকে টার্গেট করার জন্য মেলোফি ডাব করা ম্যালওয়্যার আবিষ্কৃত হয়েছে। এই পূর্বে অজানা ম্যালওয়্যারটি একটি কার্নেল মোড রুটকিটের সাথে স্থাপন করা হয়েছে এবং শেল কমান্ড ব্যবহার করে লঙ্ঘিত ডিভাইসে ইনস্টল করা হয়েছে, চীনা সাইবারস্পাইনেজ গ্রুপ উইনটি দ্বারা নিযুক্ত অন্যান্য লিনাক্স রুটকিটের মতো। ইনফোসেক গবেষকদের দ্বারা চিহ্নিত মেলোফি নমুনাগুলি সম্ভবত এপ্রিল/মে 2022-এ তৈরি করা হয়েছিল এবং একটি সাধারণ কোড বেস ভাগ করে নেওয়া হয়েছিল।

যাইহোক, ম্যালওয়্যারের বিভিন্ন সংস্করণ যোগাযোগ প্রোটোকল, এনক্রিপশন এবং কার্যকারিতাতে সামান্য পার্থক্য দেখায়। ম্যালওয়্যারের সর্বশেষ সংস্করণে একটি কার্নেল মোড রুটকিট রয়েছে, যা সরীসৃপ নামক একটি ওপেন-সোর্স প্রকল্পের একটি পরিবর্তিত সংস্করণ। মেলোফি রুটকিটের সীমিত কার্যকারিতা রয়েছে, যেমন নিজেকে লুকানোর জন্য একটি হুক ইনস্টল করা এবং ইউজারল্যান্ডের উপাদানের সাথে যোগাযোগ নিশ্চিত করার জন্য অন্য একটি, কিন্তু এটি এটিকে একটি গোপন হুমকি করে তোলে। একটি ফরাসি সাইবার সিকিউরিটি ফার্ম দ্বারা মেলোফি সম্পর্কে বিশদ প্রকাশ করা হয়েছে।

মেলোফি রুটকিটের সংক্রমণ চেইন

এই ম্যালওয়্যারের সংক্রমণ শৃঙ্খলে বেশ কয়েকটি ধাপ জড়িত, যেটি একটি ইনস্টলার এবং আক্রমণকারী-নিয়ন্ত্রিত সার্ভার থেকে একটি কাস্টম বাইনারি আনার জন্য শেল কমান্ড প্রয়োগের মাধ্যমে শুরু হয়। ইনস্টলার, যা C++ এ লেখা আছে, রুটকিট এবং সার্ভার ইমপ্লান্ট উভয়ই স্থাপনের জন্য দায়ী, উভয়ই বুট করার সময় কার্যকর করা হয়েছে তা নিশ্চিত করে। একবার ইনস্টল হয়ে গেলে, রুটকিট এবং ইমপ্লান্ট একসাথে কাজ করে যাতে সনাক্তকরণ থেকে লুকানো থাকে এবং রিবুট জুড়ে চলতে থাকে।

ইমপ্লান্টের নিজেই বেশ কয়েকটি ক্ষমতা রয়েছে, যার মধ্যে রয়েছে এর প্রক্রিয়াটি শেষ করার এবং অধ্যবসায় অপসারণ করার ক্ষমতা, নিজেকে আপডেট করা এবং পুনরায় চালু করা, মিথস্ক্রিয়া করার জন্য একটি নতুন সকেট তৈরি করা, সিস্টেমের তথ্য সংগ্রহ করা, ফাইলগুলি পড়া এবং লেখা, একটি শেল চালু করা এবং ডিরেক্টরি পরিচালনা করা। এটি আক্রমণকারীদের জন্য একটি শক্তিশালী হাতিয়ার করে তোলে যাতে একটি ভিকটিম সিস্টেমে অ্যাক্সেস পেতে এবং নিয়ন্ত্রণ করতে ব্যবহার করা যায়।

Command-and-Control (C&C) সার্ভারের সাথে যোগাযোগ করতে, Melofee ম্যালওয়্যার একটি কাস্টম প্যাকেট বিন্যাস ব্যবহার করে TCP যোগাযোগ সমর্থন করে। এটি C&C সার্ভারের সাথে ডেটা আদান-প্রদানের জন্য একটি TLS এনক্রিপ্ট করা চ্যানেল ব্যবহার করতে পারে, যা যোগাযোগের নিরাপত্তার একটি অতিরিক্ত স্তর প্রদান করে। উপরন্তু, ম্যালওয়্যার KCP প্রোটোকল ব্যবহার করে ডেটা পাঠাতে পারে, সম্ভাব্য যোগাযোগ পদ্ধতির পরিসর প্রসারিত করে।

উইনটি গ্রুপ কয়েক দশক ধরে সক্রিয় ছিল বলে বিশ্বাস করা হয়

Winnti, এছাড়াও APT41 , Blackfly, Barium, Bronze Atlas, Double Dragon, Wicked Spider এবং Wicked Panda-এর মতো বেশ কয়েকটি উপনাম দ্বারা পরিচিত, একটি কুখ্যাত হ্যাকিং গ্রুপ যা চীন সরকার দ্বারা স্পনসর করা হয়েছে বলে বিশ্বাস করা হয়। গোষ্ঠীটি সক্রিয়ভাবে সাইবার গুপ্তচরবৃত্তি এবং আর্থিকভাবে উদ্বুদ্ধ আক্রমণ শুরু করছে অন্তত 2007 সাল থেকে। উইনটি গ্রুপ স্বাস্থ্যসেবা, গেমিং এবং প্রযুক্তি সহ বিভিন্ন ক্ষেত্রে সংগঠনের বিরুদ্ধে বেশ কয়েকটি উচ্চ-প্রোফাইল আক্রমণের জন্য দায়ী।

সম্প্রতি, মেলোফি পরিকাঠামোর বিশ্লেষণে আরও কয়েকটি হ্যাকিং গ্রুপ এবং তাদের কমান্ড-এন্ড-কন্ট্রোল (C&C) সার্ভারের সাথে সংযোগ প্রকাশ পেয়েছে। এই গোষ্ঠীগুলির মধ্যে রয়েছে ShadowPad , Winnti, এবং HelloBot, যেগুলি সবই অতীতে বিভিন্ন আক্রমণের জন্য দায়ী। অতিরিক্তভাবে, মেলোফি অবকাঠামোটি বেশ কয়েকটি ডোমেনের সাথে যুক্ত করা হয়েছে