Melofee haittaohjelma

Melofee-nimisen haittaohjelman on havaittu kohdistuvan Linux-palvelimiin. Tämä aiemmin tuntematon haittaohjelma otetaan käyttöön ydintilan rootkitillä, ja se asennetaan rikotun laitteen komentotulkkikomennoilla, kuten muutkin kiinalaisen kybervakoiluryhmän Winntin käyttämät Linux-rootkitit. Infosec-tutkijoiden tunnistamat Melofee-näytteet luotiin todennäköisesti huhti-toukokuussa 2022 ja niillä on yhteinen koodipohja.

Haittaohjelman eri versioissa on kuitenkin pieniä eroja viestintäprotokollassa, salauksessa ja toiminnassa. Haittaohjelman uusin versio sisältää ydintilan rootkitin, joka on muokattu versio avoimen lähdekoodin projektista nimeltä Reptile. Melofee-rootkitillä on rajoitetut toiminnot, kuten koukun asentaminen piilottaakseen itsensä ja toisen koukun asentaminen varmistaakseen viestinnän userland-komponentin kanssa, mutta se tekee siitä salakavamman uhan. Ranskalainen kyberturvallisuusyritys julkaisi Melofeesta yksityiskohtia.

Melofee Rootkitin infektioketju

Tämän haittaohjelman tartuntaketjuun kuuluu useita vaiheita, jotka alkavat komentotulkkikomentojen suorittamisella asennusohjelman sekä mukautetun binaarin hakemiseksi hyökkääjän ohjaamasta palvelimesta. Asennusohjelma, joka on kirjoitettu C++-kielellä, on vastuussa sekä rootkit- että palvelin-implanttien käyttöönotosta varmistaen, että molemmat suoritetaan käynnistyksen yhteydessä. Kun rootkit ja implantti on asennettu, ne toimivat yhdessä pysyen piilossa havaitsemiselta ja jatkuvat uudelleenkäynnistysten ajan.

Itse implantilla on useita ominaisuuksia, mukaan lukien kyky lopettaa prosessinsa ja poistaa pysyvyys, päivittää itsensä ja käynnistää uudelleen, luoda uusi liitäntä vuorovaikutusta varten, kerätä järjestelmätietoja, lukea ja kirjoittaa tiedostoja, käynnistää kuori ja hallita hakemistoja. Tämä tekee siitä tehokkaan työkalun hyökkääjille päästäkseen käsiksi uhrin järjestelmään ja hallitakseen sitä.

Melofee-haittaohjelma tukee Command-and-Control (C&C) -palvelimen kanssa TCP-viestintää mukautetun pakettimuodon avulla. Se voi myös käyttää TLS-salattua kanavaa tietojen vaihtamiseen C&C-palvelimen kanssa, mikä tarjoaa ylimääräisen tietoturvakerroksen. Lisäksi haittaohjelma voi lähettää tietoja KCP-protokollan avulla, mikä laajentaa mahdollisten viestintämenetelmien valikoimaa.

Winnti Groupin uskotaan olleen aktiivinen vuosikymmeniä

Winnti, joka tunnetaan myös useilla aliaksilla, kuten APT41 , Blackfly, Barium, Bronze Atlas, Double Dragon, Wicked Spider ja Wicked Panda, on pahamaineinen hakkerointiryhmä, jonka uskotaan olevan Kiinan hallituksen sponsoroima. Ryhmä on käynnistänyt aktiivisesti kybervakoilua ja taloudellisia hyökkäyksiä ainakin vuodesta 2007 lähtien. Winnti- ryhmä on ollut vastuussa useista korkean profiilin hyökkäyksistä eri alojen organisaatioita vastaan, mukaan lukien terveydenhuolto, pelit ja teknologia.

Äskettäin Melofee-infrastruktuurin analyysi on paljastanut yhteyksiä useisiin muihin hakkerointiryhmiin ja niiden komento- ja ohjauspalvelimiin. Näihin ryhmiin kuuluvat ShadowPad , Winnti ja HelloBot, jotka kaikki ovat aiemmin olleet vastuussa erilaisista hyökkäyksistä. Lisäksi Melofee-infrastruktuuri on myös linkitetty useisiin verkkotunnuksiin, joilla on