Melofee malware

Malwaren kaldet Melofee er blevet opdaget for at målrette mod Linux-servere. Denne tidligere ukendte malware er implementeret ledsaget af et rootkit i kernetilstand og installeres på den brudte enhed ved hjælp af shell-kommandoer, svarende til andre Linux-rootkits, der er ansat af den kinesiske cyberespionagegruppe Winnti. Melofee-prøverne identificeret af infosec-forskerne blev sandsynligvis oprettet i april/maj 2022 og deler en fælles kodebase.

Imidlertid viser de forskellige versioner af malwaren mindre forskelle i kommunikationsprotokol, kryptering og funktionalitet. Den seneste version af malwaren indeholder et rootkit i kernetilstand, som er en modificeret version af et open source-projekt kaldet Reptile. Melofee rootkit har begrænset funktionalitet, såsom at installere en krog for at skjule sig selv og en anden for at sikre kommunikation med brugerlandskomponenten, men det gør det til en mere snigende trussel. Detaljer om Melofee blev frigivet af et fransk cybersikkerhedsfirma.

Infektionskæden i Melofee Rootkit

Infektionskæden af denne malware involverer flere trin, som begynder med udførelse af shell-kommandoer for at hente et installationsprogram samt en brugerdefineret binær fra en angriber-kontrolleret server. Installationsprogrammet, som er skrevet i C++, er ansvarligt for at implementere både rootkittet og serverimplantatet, hvilket sikrer, at begge udføres ved opstart. Når det først er installeret, arbejder rootkittet og implantatet sammen for at forblive skjult fra detektion og fortsætter under genstart.

Selve implantatet har flere muligheder, herunder evnen til at afslutte sin proces og fjerne persistens, opdatere sig selv og genstarte, oprette en ny socket til interaktion, indsamle systemoplysninger, læse og skrive filer, starte en shell og administrere mapper. Dette gør det til et kraftfuldt værktøj for angribere at bruge for at få adgang til og kontrol over et offers system.

For at kommunikere med Command-and-Control-serveren (C&C) understøtter Melofee-malwaren TCP-kommunikation ved hjælp af et brugerdefineret pakkeformat. Den kan også bruge en TLS-krypteret kanal til at udveksle data med C&C-serveren, hvilket giver et ekstra lag af sikkerhed til kommunikationen. Derudover kan malwaren sende data ved hjælp af KCP-protokollen, hvilket udvider rækken af mulige kommunikationsmetoder.

Winnti-gruppen menes at have været aktiv i årtier

Winnti, også kendt under adskillige aliaser såsom APT41 , Blackfly, Barium, Bronze Atlas, Double Dragon, Wicked Spider og Wicked Panda, er en berygtet hackergruppe, der menes at være sponsoreret af den kinesiske regering. Gruppen har aktivt lanceret cyberspionage og økonomisk motiverede angreb siden mindst 2007. Winnti- gruppen har været ansvarlig for adskillige højprofilerede angreb mod organisationer i forskellige sektorer, herunder sundhedspleje, spil og teknologi.

For nylig har analyse af Melofee-infrastrukturen afsløret forbindelser med flere andre hackergrupper og deres kommando-og-kontrol-servere (C&C). Disse grupper inkluderer ShadowPad , Winnti og HelloBot, som alle har været ansvarlige for forskellige angreb tidligere. Derudover er Melofee-infrastrukturen også blevet knyttet til flere domæner, der har