הנחות רישוי רב
Threat Database Malware Melofee Malware

Melofee Malware

עד Mezo ב-Malware, Rootkits
לתרגם ל:
עברית

התוכנה הזדונית המכונה Melofee התגלתה כמטרה לשרתי לינוקס. תוכנה זדונית זו, שלא הייתה ידועה בעבר, נפרסת בליווי ערכת rootkit במצב ליבה ומותקנת במכשיר הפרוץ באמצעות פקודות מעטפת, בדומה ל-Rootkits אחרות של לינוקס המועסקות על ידי קבוצת ריגול הסייבר הסינית Winnti. דגימות Melofee שזוהו על ידי חוקרי infosec נוצרו ככל הנראה באפריל/מאי 2022 וחולקות בסיס קוד משותף.

עם זאת, הגרסאות השונות של התוכנה הזדונית מציגות הבדלים קלים בפרוטוקול התקשורת, ההצפנה והפונקציונליות. הגרסה האחרונה של התוכנה הזדונית מכילה Rootkit במצב ליבה, שהיא גרסה שונה של פרויקט קוד פתוח בשם Reptile. ל-Melofee rootkit יש פונקציונליות מוגבלת, כמו התקנת וו כדי להסתיר את עצמו ועוד אחד כדי להבטיח תקשורת עם רכיב ארץ המשתמש, אבל זה הופך אותו לאיום חמקני יותר. פרטים על Melofee פורסמו על ידי חברת אבטחת סייבר צרפתית.

שרשרת ההדבקה של מלופי Rootkit

שרשרת ההדבקה של תוכנה זדונית זו כוללת מספר שלבים, שמתחילים בביצוע פקודות מעטפת כדי להביא מתקין וכן קובץ בינארי מותאם אישית משרת הנשלט על ידי תוקף. המתקין, שנכתב ב-C++, אחראי על פריסת ה-rootkit והשתלת השרת, ומבטיח ששניהם מבוצעים בזמן האתחול. לאחר ההתקנה, ה-rootkit והשתל פועלים יחד כדי להישאר מוסתרים מזיהוי ולהתמיד בכל אתחול מחדש.

לשתל עצמו יש כמה יכולות, כולל היכולת להפסיק את התהליך שלו ולהסיר התמדה, לעדכן את עצמו ולהפעיל מחדש, ליצור שקע חדש לאינטראקציה, לאסוף מידע מערכת, לקרוא ולכתוב קבצים, להפעיל מעטפת ולנהל ספריות. זה הופך אותו לכלי רב עוצמה לשימוש התוקפים על מנת לקבל גישה ושליטה על המערכת של הקורבן.

כדי לתקשר עם שרת Command-and-Control (C&C), התוכנה הזדונית של Melofee תומכת בתקשורת TCP באמצעות פורמט מנות מותאם אישית. זה יכול גם להשתמש בערוץ מוצפן TLS כדי להחליף נתונים עם שרת C&C, המספק שכבת אבטחה נוספת לתקשורת. בנוסף, התוכנה הזדונית יכולה לשלוח נתונים באמצעות פרוטוקול KCP, ולהרחיב את מגוון שיטות התקשורת האפשריות.

מאמינים שקבוצת Winnti פעילה כבר עשרות שנים

Winnti, הידועה גם בכמה כינויים כמו APT41 , Blackfly, Barium, Bronze Atlas, Double Dragon, Wicked Spider ו-Wicked Panda, היא קבוצת פריצה ידועה לשמצה, שלדעתה נתמכת בחסות ממשלת סין. הקבוצה משיקה ריגול סייבר והתקפות כלכליות באופן פעיל מאז 2007 לפחות. קבוצת Winnti הייתה אחראית למספר התקפות בפרופיל גבוה נגד ארגונים במגזרים שונים, כולל שירותי בריאות, משחקים וטכנולוגיה.

לאחרונה, ניתוח של תשתית Melofee חשף קשרים עם מספר קבוצות פריצה אחרות ושרתי פיקוד ושליטה (C&C) שלהן. קבוצות אלו כוללות את ShadowPad , Winnti ו- HelloBot, שכולם היו אחראים להתקפות שונות בעבר. בנוסף, תשתית Melofee נקשרת גם למספר תחומים שיש להם

מגמות

הכי נצפה

הונאת דוא"ל 'Gek Squad'

Phishing, Spam
15,882
Geek Squad, ספקית תמיכה טכנית פופולרית, הפכה לקורבן של הונאת דיוג בשם Geek Squad Email Scam. הונאת התמיכה הטכנית הזו משתמשת בהודעות דוא"ל מזויפות שמרמות אנשים למסור את המידע האישי שלהם, כגון פרטי כרטיסי אשראי, כתובות דוא"ל ואפילו מספרי תעודת זהות. במאמר זה, נדון בהונאה עצמה, כיצד היא נראית, מאיפה מגיעים האימיילים המזויפים, מה הרמאים רוצים וכיצד להגן על עצמך מפני נפילת קורבן להונאה זו. מהי הונאת...
טוען...