بدافزار Melofee

بدافزاری با نام Melofee برای هدف قرار دادن سرورهای لینوکس کشف شده است. این بدافزار که قبلا ناشناخته بود، همراه با یک روت کیت حالت هسته مستقر شده و با استفاده از دستورات پوسته، مشابه دیگر روت کیت‌های لینوکس که توسط گروه جاسوسی سایبری چینی Winnti استفاده می‌شود، روی دستگاه نقض شده نصب می‌شود. نمونه‌های Melofee شناسایی‌شده توسط محققان infosec احتمالاً در آوریل/مه 2022 ایجاد شده‌اند و یک پایه کد مشترک دارند.

با این حال، نسخه‌های مختلف بدافزار تفاوت‌های جزئی در پروتکل ارتباطی، رمزگذاری و عملکرد نشان می‌دهند. آخرین نسخه بدافزار حاوی روت کیت حالت هسته است که نسخه اصلاح شده یک پروژه منبع باز به نام Reptile است. Rootkit Melofee عملکرد محدودی دارد، مانند نصب یک قلاب برای مخفی کردن خود و دیگری برای اطمینان از ارتباط با مؤلفه userland، اما این باعث می‌شود که آن را به یک تهدید مخفی‌تر تبدیل کند. جزئیات مربوط به Melofee توسط یک شرکت امنیت سایبری فرانسوی منتشر شد.

زنجیره عفونت ریشه Melofee

زنجیره آلودگی این بدافزار شامل چندین مرحله است که با اجرای دستورات پوسته برای واکشی یک نصب کننده و همچنین یک باینری سفارشی از یک سرور تحت کنترل مهاجم شروع می شود. نصب کننده که به زبان C++ نوشته شده است، وظیفه استقرار روت کیت و ایمپلنت سرور را بر عهده دارد و اطمینان حاصل می کند که هر دو در زمان بوت اجرا می شوند. پس از نصب، روت کیت و ایمپلنت با هم کار می کنند تا از شناسایی پنهان بمانند و در طول راه اندازی مجدد باقی بمانند.

خود ایمپلنت چندین قابلیت دارد، از جمله توانایی خاتمه دادن به فرآیند خود و حذف ماندگاری، به روز رسانی و راه اندازی مجدد، ایجاد یک سوکت جدید برای تعامل، جمع آوری اطلاعات سیستم، خواندن و نوشتن فایل ها، راه اندازی پوسته و مدیریت فهرست ها. این آن را به ابزاری قدرتمند برای مهاجمان تبدیل می کند تا از آن برای دسترسی و کنترل بر سیستم قربانی استفاده کنند.

برای برقراری ارتباط با سرور Command-and-Control (C&C)، بدافزار Melofee از ارتباط TCP با استفاده از قالب بسته سفارشی پشتیبانی می کند. همچنین می تواند از یک کانال رمزگذاری شده TLS برای تبادل داده با سرور C&C استفاده کند و یک لایه امنیتی اضافی برای ارتباطات فراهم کند. علاوه بر این، بدافزار می‌تواند داده‌ها را با استفاده از پروتکل KCP ارسال کند و دامنه روش‌های ارتباطی ممکن را گسترش دهد.

اعتقاد بر این است که گروه Winnti برای چندین دهه فعال بوده است

Winnti که با نام‌های مستعار متعددی مانند APT41 ، Blackfly، Barium، Bronze Atlas، Double Dragon، Wicked Spider و Wicked Panda نیز شناخته می‌شود، یک گروه هک بدنام است که گفته می‌شود توسط دولت چین حمایت می‌شود. این گروه حداقل از سال 2007 به طور فعال جاسوسی سایبری و حملات با انگیزه مالی را راه اندازی کرده است. گروه Winnti مسئول چندین حمله با مشخصات بالا علیه سازمان ها در بخش های مختلف از جمله مراقبت های بهداشتی، بازی و فناوری بوده است.

اخیراً تجزیه و تحلیل زیرساخت Melofee ارتباط با چندین گروه هک دیگر و سرورهای فرمان و کنترل (C&C) آنها را آشکار کرده است. این گروه ها شامل ShadowPad ، Winnti و HelloBot هستند که همگی در گذشته مسئول حملات مختلفی بوده اند. علاوه بر این، زیرساخت Melofee نیز به چندین دامنه مرتبط شده است