Melofee Malware

Byl objeven malware s názvem Melofee, který cílí na linuxové servery. Tento dříve neznámý malware je nasazen spolu s rootkitem v režimu jádra a je instalován na napadeném zařízení pomocí příkazů shellu, podobně jako jiné linuxové rootkity používané čínskou kyberšpionážní skupinou Winnti. Vzorky Melofee identifikované výzkumníky infosec byly pravděpodobně vytvořeny v dubnu/květnu 2022 a sdílejí společnou kódovou základnu.

Různé verze malwaru však vykazují drobné rozdíly v komunikačním protokolu, šifrování a funkčnosti. Nejnovější verze malwaru obsahuje rootkit režimu jádra, což je upravená verze open-source projektu s názvem Reptile. Melofee rootkit má omezenou funkcionalitu, jako je instalace háku, který se skryje, a dalšího, který zajistí komunikaci s komponentou userland, ale to z něj dělá tajnější hrozbu. Podrobnosti o Melofee zveřejnila francouzská firma zabývající se kybernetickou bezpečností.

Infekční řetězec Melofee Rootkit

Infekční řetězec tohoto malwaru zahrnuje několik kroků, které začínají provedením příkazů shellu k načtení instalačního programu a také vlastního binárního souboru ze serveru kontrolovaného útočníkem. Instalační program, který je napsán v C++, zodpovídá za nasazení jak rootkitu, tak serverového implantátu a zajišťuje, že oba budou spuštěny při bootování. Po instalaci rootkit a implantát spolupracují, aby zůstaly skryté před detekcí a přetrvávaly po restartování.

Implantát samotný má několik schopností, včetně schopnosti ukončit svůj proces a odstranit persistenci, aktualizovat se a restartovat, vytvořit nový soket pro interakci, shromažďovat systémové informace, číst a zapisovat soubory, spouštět shell a spravovat adresáře. To z něj dělá mocný nástroj, který mohou útočníci použít k získání přístupu a kontroly nad systémem oběti.

Pro komunikaci se serverem Command-and-Control (C&C) podporuje malware Melofee komunikaci TCP pomocí vlastního formátu paketů. Může také používat šifrovaný kanál TLS pro výměnu dat se serverem C&C, což poskytuje další vrstvu zabezpečení komunikace. Malware navíc může odesílat data pomocí protokolu KCP, čímž rozšiřuje škálu možných způsobů komunikace.

Předpokládá se, že skupina Winnti je aktivní po celá desetiletí

Winnti, známá také pod několika aliasy jako APT41 , Blackfly, Barium, Bronze Atlas, Double Dragon, Wicked Spider a Wicked Panda, je notoricky známá hackerská skupina, o které se předpokládá, že ji sponzoruje čínská vláda. Skupina aktivně spouští kyberšpionáž a finančně motivované útoky minimálně od roku 2007. Skupina Winnti je zodpovědná za několik významných útoků proti organizacím v různých sektorech, včetně zdravotnictví, her a technologií.

Nedávno analýza infrastruktury Melofee odhalila spojení s několika dalšími hackerskými skupinami a jejich servery pro příkazy a řízení (C&C). Mezi tyto skupiny patří ShadowPad , Winnti a HelloBot, z nichž všechny byly v minulosti zodpovědné za různé útoky. Infrastruktura Melofee byla navíc propojena s několika doménami