Melofee pahavara

Avastati, et pahavara nimega Melofee sihib Linuxi servereid. See varem tundmatu pahavara juurutatakse koos kernelirežiimi juurkomplektiga ja installitakse rikutud seadmesse shellikäskude abil, sarnaselt teiste Hiina küberspionaažirühma Winnti kasutatavate Linuxi juurkomplektidega. Infoseci teadlaste tuvastatud Melofee proovid loodi tõenäoliselt 2022. aasta aprillis/mais ja neil on ühine koodibaas.

Pahavara erinevad versioonid näitavad aga väikseid erinevusi sideprotokolli, krüptimise ja funktsionaalsuse osas. Pahavara uusim versioon sisaldab kerneli režiimi juurkomplekti, mis on muudetud versioon avatud lähtekoodiga projektist nimega Reptile. Melofee juurkomplektil on piiratud funktsionaalsus, näiteks konksu paigaldamine enda peitmiseks ja teise konks, et tagada side kasutajamaa komponendiga, kuid see muudab selle vargasemaks ohuks. Üksikasjad Melofee kohta avaldas Prantsuse küberjulgeolekufirma.

Melofee juurkomplekti nakkusahel

Selle pahavara nakatumisahel hõlmab mitut etappi, mis algavad shellikäskude täitmisega, et tuua nii installija kui ka kohandatud kahendfail ründaja juhitud serverist. Installer, mis on kirjutatud C++ keeles, vastutab nii juurkomplekti kui ka serveriimplantaadi juurutamise eest, tagades, et mõlemad käivitatakse alglaadimise ajal. Pärast installimist töötavad juurkomplekt ja implantaat koos, et jääda tuvastamise eest peidetuks ja püsida kogu taaskäivitamise ajal.

Implantaadil endal on mitu võimalust, sealhulgas võime lõpetada oma protsess ja eemaldada püsivus, värskendada ennast ja taaskäivitada, luua interaktsiooniks uus pesa, koguda süsteemiteavet, lugeda ja kirjutada faile, käivitada kest ja hallata katalooge. See muudab selle ründajatele võimsaks tööriistaks ohvri süsteemile juurdepääsu saamiseks ja selle üle kontrolli saamiseks.

Command-and-Control (C&C) serveriga suhtlemiseks toetab Melofee pahavara TCP-sidet, kasutades kohandatud pakettvormingut. See võib kasutada ka TLS-krüptitud kanalit andmete vahetamiseks C&C-serveriga, pakkudes sidele täiendavat turvakihti. Lisaks võib pahavara saata andmeid KCP-protokolli abil, laiendades võimalike sidemeetodite valikut.

Arvatakse, et Winnti grupp on tegutsenud aastakümneid

Winnti, tuntud ka mitme varjunimega, nagu APT41 , Blackfly, Baarium, Bronze Atlas, Double Dragon, Wicked Spider ja Wicked Panda, on kurikuulus häkkimisrühmitus, mida arvatakse sponsoreerituna Hiina valitsusest. Rühm on aktiivselt käivitanud küberspionaaži ja rahaliselt motiveeritud rünnakuid alates vähemalt 2007. aastast. Winnti rühmitus on vastutanud mitmete kõrgetasemeliste rünnakute eest organisatsioonide vastu erinevates sektorites, sealhulgas tervishoid, hasartmängud ja tehnoloogia.

Hiljuti on Melofee infrastruktuuri analüüs paljastanud seoseid mitmete teiste häkkimisrühmade ja nende käsu- ja kontrolliserveritega. Nende rühmade hulka kuuluvad ShadowPad , Winnti ja HelloBot, mis kõik on varem vastutanud erinevate rünnakute eest. Lisaks on Melofee infrastruktuur seotud ka mitme domeeniga, millel on