Κακόβουλο λογισμικό Melofee

Το κακόβουλο λογισμικό με το όνομα Melofee ανακαλύφθηκε ότι στοχεύει διακομιστές Linux. Αυτό το προηγουμένως άγνωστο κακόβουλο λογισμικό αναπτύσσεται συνοδευόμενο από ένα rootkit λειτουργίας πυρήνα και εγκαθίσταται στη συσκευή που έχει παραβιαστεί χρησιμοποιώντας εντολές φλοιού, παρόμοια με άλλα rootkits Linux που χρησιμοποιεί η κινεζική ομάδα κυβερνοκατασκοπείας Winnti. Τα δείγματα Melofee που εντοπίστηκαν από τους ερευνητές του infosec πιθανότατα δημιουργήθηκαν τον Απρίλιο/Μάιο του 2022 και μοιράζονται μια κοινή βάση κωδικών.

Ωστόσο, οι διαφορετικές εκδόσεις του κακόβουλου λογισμικού εμφανίζουν μικρές διαφορές στο πρωτόκολλο επικοινωνίας, την κρυπτογράφηση και τη λειτουργικότητα. Η τελευταία έκδοση του κακόβουλου λογισμικού περιέχει ένα rootkit λειτουργίας πυρήνα, το οποίο είναι μια τροποποιημένη έκδοση ενός έργου ανοιχτού κώδικα που ονομάζεται Reptile. Το rootkit Melofee έχει περιορισμένη λειτουργικότητα, όπως η εγκατάσταση ενός γάντζου για να κρυφτεί και ενός άλλου για τη διασφάλιση της επικοινωνίας με το στοιχείο userland, αλλά αυτό το κάνει πιο κρυφή απειλή. Λεπτομέρειες για το Melofee έδωσε στη δημοσιότητα μια γαλλική εταιρεία κυβερνοασφάλειας.

Η αλυσίδα μόλυνσης του Melofee Rootkit

Η αλυσίδα μόλυνσης αυτού του κακόβουλου λογισμικού περιλαμβάνει πολλά βήματα, τα οποία ξεκινούν με την εκτέλεση εντολών φλοιού για την ανάκτηση ενός προγράμματος εγκατάστασης καθώς και ενός προσαρμοσμένου δυαδικού αρχείου από έναν διακομιστή που ελέγχεται από τον εισβολέα. Το πρόγραμμα εγκατάστασης, το οποίο είναι γραμμένο σε C++, είναι υπεύθυνο για την ανάπτυξη τόσο του rootkit όσο και του εμφυτεύματος διακομιστή, διασφαλίζοντας ότι και τα δύο εκτελούνται κατά την εκκίνηση. Μόλις εγκατασταθεί, το rootkit και το εμφύτευμα συνεργάζονται για να παραμείνουν κρυφά από την ανίχνευση και να παραμείνουν κατά τις επανεκκινήσεις.

Το ίδιο το εμφύτευμα έχει πολλές δυνατότητες, συμπεριλαμβανομένης της δυνατότητας τερματισμού της διαδικασίας και αφαίρεσης της επιμονής, ενημέρωσης και επανεκκίνησης, δημιουργίας νέας υποδοχής για αλληλεπίδραση, συλλογής πληροφοριών συστήματος, ανάγνωσης και εγγραφής αρχείων, εκκίνησης ενός κελύφους και διαχείρισης καταλόγων. Αυτό το καθιστά ένα ισχυρό εργαλείο για τους επιτιθέμενους για να αποκτήσουν πρόσβαση και έλεγχο στο σύστημα του θύματος.

Για την επικοινωνία με τον διακομιστή Command-and-Control (C&C), το κακόβουλο λογισμικό Melofee υποστηρίζει επικοινωνία TCP χρησιμοποιώντας μια προσαρμοσμένη μορφή πακέτου. Μπορεί επίσης να χρησιμοποιήσει ένα κρυπτογραφημένο κανάλι TLS για την ανταλλαγή δεδομένων με τον διακομιστή C&C, παρέχοντας ένα επιπλέον επίπεδο ασφάλειας στην επικοινωνία. Επιπλέον, το κακόβουλο λογισμικό μπορεί να στείλει δεδομένα χρησιμοποιώντας το πρωτόκολλο KCP, επεκτείνοντας το εύρος των πιθανών μεθόδων επικοινωνίας.

Ο Όμιλος Winnti πιστεύεται ότι ήταν ενεργός εδώ και δεκαετίες

Η Winnti, γνωστή και με πολλά ψευδώνυμα όπως APT41 , Blackfly, Barium, Bronze Atlas, Double Dragon, Wicked Spider και Wicked Panda, είναι μια διαβόητη ομάδα hacking που πιστεύεται ότι χρηματοδοτείται από την κινεζική κυβέρνηση. Η ομάδα εξαπολύει ενεργά κατασκοπεία στον κυβερνοχώρο και επιθέσεις με οικονομικά κίνητρα τουλάχιστον από το 2007. Η ομάδα Winnti είναι υπεύθυνη για πολλές επιθέσεις υψηλού προφίλ εναντίον οργανισμών σε διάφορους τομείς, συμπεριλαμβανομένης της υγειονομικής περίθαλψης, των τυχερών παιχνιδιών και της τεχνολογίας.

Πρόσφατα, η ανάλυση της υποδομής του Melofee αποκάλυψε συνδέσεις με πολλές άλλες ομάδες hacking και τους διακομιστές Command-and-Control (C&C) τους. Αυτές οι ομάδες περιλαμβάνουν το ShadowPad , το Winnti και το HelloBot, τα οποία ήταν όλα υπεύθυνα για διάφορες επιθέσεις στο παρελθόν. Επιπλέον, η υποδομή Melofee έχει επίσης συνδεθεί με πολλούς τομείς που έχουν