Programari maliciós Melofee

S'ha descobert que el programari maliciós anomenat Melofee es dirigeix als servidors Linux. Aquest programari maliciós fins ara desconegut es desplega acompanyat d'un rootkit en mode nucli i s'instal·la al dispositiu violat mitjançant ordres d'intèrpret d'ordres, de manera similar a altres rootkits de Linux utilitzats pel grup de ciberespionatge xinès Winnti. Les mostres de Melofee identificades pels investigadors d'infosec probablement es van crear a l'abril/maig de 2022 i comparteixen una base de codi comú.

Tanmateix, les diferents versions del programari maliciós mostren diferències menors en el protocol de comunicació, el xifratge i la funcionalitat. La darrera versió del programari maliciós conté un rootkit en mode nucli, que és una versió modificada d'un projecte de codi obert anomenat Reptile. El rootkit Melofee té una funcionalitat limitada, com ara instal·lar un ganxo per amagar-se i un altre per garantir la comunicació amb el component userland, però això el converteix en una amenaça més furtiva. Els detalls sobre Melofee van ser publicats per una empresa francesa de ciberseguretat.

La cadena d'infecció del rootkit Melofee

La cadena d'infecció d'aquest programari maliciós inclou diversos passos, que comencen amb l'execució d'ordres d'intèrpret d'ordres per obtenir un instal·lador, així com un binari personalitzat d'un servidor controlat per un atacant. L'instal·lador, que està escrit en C++, s'encarrega de desplegar tant el rootkit com l'implant del servidor, assegurant que tots dos s'executen en el moment de l'arrencada. Un cop instal·lat, el rootkit i l'implant treballen junts per romandre ocults de la detecció i persistir durant els reinicis.

El propi implant té diverses capacitats, inclosa la capacitat d'acabar el seu procés i eliminar la persistència, actualitzar-se i reiniciar-se, crear un nou sòcol per a la interacció, recopilar informació del sistema, llegir i escriure fitxers, llançar un shell i gestionar directoris. Això la converteix en una eina poderosa que els atacants poden utilitzar per accedir i controlar el sistema de la víctima.

Per comunicar-se amb el servidor Command-and-Control (C&C), el programari maliciós Melofee admet la comunicació TCP mitjançant un format de paquet personalitzat. També pot utilitzar un canal xifrat TLS per intercanviar dades amb el servidor C&C, proporcionant una capa addicional de seguretat a la comunicació. A més, el programari maliciós pot enviar dades mitjançant el protocol KCP, ampliant el ventall de mètodes de comunicació possibles.

Es creu que el grup Winnti ha estat actiu durant dècades

Winnti, també conegut per diversos àlies com APT41 , Blackfly, Barium, Bronze Atlas, Double Dragon, Wicked Spider i Wicked Panda, és un famós grup de pirateria informàtica que es creu que està patrocinat pel govern xinès. El grup ha estat llançant activament ciberespionatge i atacs per motivació financera des d'almenys l'any 2007. El grup Winnti ha estat responsable de diversos atacs d'alt perfil contra organitzacions de diversos sectors, com ara la sanitat, els jocs i la tecnologia.

Recentment, l'anàlisi de la infraestructura de Melofee ha revelat connexions amb diversos altres grups de pirateria i els seus servidors de comandament i control (C&C). Aquests grups inclouen ShadowPad , Winnti i HelloBot, tots ells responsables de diversos atacs en el passat. A més, la infraestructura de Melofee també s'ha vinculat a diversos dominis que en tenen