بدافزار Melofee
بدافزاری با نام Melofee برای هدف قرار دادن سرورهای لینوکس کشف شده است. این بدافزار که قبلا ناشناخته بود، همراه با یک روت کیت حالت هسته مستقر شده و با استفاده از دستورات پوسته، مشابه دیگر روت کیتهای لینوکس که توسط گروه جاسوسی سایبری چینی Winnti استفاده میشود، روی دستگاه نقض شده نصب میشود. نمونههای Melofee شناساییشده توسط محققان infosec احتمالاً در آوریل/مه 2022 ایجاد شدهاند و یک پایه کد مشترک دارند.
با این حال، نسخههای مختلف بدافزار تفاوتهای جزئی در پروتکل ارتباطی، رمزگذاری و عملکرد نشان میدهند. آخرین نسخه بدافزار حاوی روت کیت حالت هسته است که نسخه اصلاح شده یک پروژه منبع باز به نام Reptile است. Rootkit Melofee عملکرد محدودی دارد، مانند نصب یک قلاب برای مخفی کردن خود و دیگری برای اطمینان از ارتباط با مؤلفه userland، اما این باعث میشود که آن را به یک تهدید مخفیتر تبدیل کند. جزئیات مربوط به Melofee توسط یک شرکت امنیت سایبری فرانسوی منتشر شد.
زنجیره عفونت ریشه Melofee
زنجیره آلودگی این بدافزار شامل چندین مرحله است که با اجرای دستورات پوسته برای واکشی یک نصب کننده و همچنین یک باینری سفارشی از یک سرور تحت کنترل مهاجم شروع می شود. نصب کننده که به زبان C++ نوشته شده است، وظیفه استقرار روت کیت و ایمپلنت سرور را بر عهده دارد و اطمینان حاصل می کند که هر دو در زمان بوت اجرا می شوند. پس از نصب، روت کیت و ایمپلنت با هم کار می کنند تا از شناسایی پنهان بمانند و در طول راه اندازی مجدد باقی بمانند.
خود ایمپلنت چندین قابلیت دارد، از جمله توانایی خاتمه دادن به فرآیند خود و حذف ماندگاری، به روز رسانی و راه اندازی مجدد، ایجاد یک سوکت جدید برای تعامل، جمع آوری اطلاعات سیستم، خواندن و نوشتن فایل ها، راه اندازی پوسته و مدیریت فهرست ها. این آن را به ابزاری قدرتمند برای مهاجمان تبدیل می کند تا از آن برای دسترسی و کنترل بر سیستم قربانی استفاده کنند.
برای برقراری ارتباط با سرور Command-and-Control (C&C)، بدافزار Melofee از ارتباط TCP با استفاده از قالب بسته سفارشی پشتیبانی می کند. همچنین می تواند از یک کانال رمزگذاری شده TLS برای تبادل داده با سرور C&C استفاده کند و یک لایه امنیتی اضافی برای ارتباطات فراهم کند. علاوه بر این، بدافزار میتواند دادهها را با استفاده از پروتکل KCP ارسال کند و دامنه روشهای ارتباطی ممکن را گسترش دهد.
اعتقاد بر این است که گروه Winnti برای چندین دهه فعال بوده است
Winnti که با نامهای مستعار متعددی مانند APT41 ، Blackfly، Barium، Bronze Atlas، Double Dragon، Wicked Spider و Wicked Panda نیز شناخته میشود، یک گروه هک بدنام است که گفته میشود توسط دولت چین حمایت میشود. این گروه حداقل از سال 2007 به طور فعال جاسوسی سایبری و حملات با انگیزه مالی را راه اندازی کرده است. گروه Winnti مسئول چندین حمله با مشخصات بالا علیه سازمان ها در بخش های مختلف از جمله مراقبت های بهداشتی، بازی و فناوری بوده است.
اخیراً تجزیه و تحلیل زیرساخت Melofee ارتباط با چندین گروه هک دیگر و سرورهای فرمان و کنترل (C&C) آنها را آشکار کرده است. این گروه ها شامل ShadowPad ، Winnti و HelloBot هستند که همگی در گذشته مسئول حملات مختلفی بوده اند. علاوه بر این، زیرساخت Melofee نیز به چندین دامنه مرتبط شده است