मेलोफी मैलवेयर
लिनक्स सर्वरों को लक्षित करने के लिए मेलोफी नामक मैलवेयर की खोज की गई है। यह पहले से अज्ञात मैलवेयर एक कर्नेल मोड रूटकिट के साथ तैनात किया गया है और शेल कमांड का उपयोग करके उल्लंघन किए गए डिवाइस पर स्थापित किया गया है, चीनी साइबर जासूसी समूह विन्ती द्वारा नियोजित अन्य लिनक्स रूटकिट के समान। Infosec शोधकर्ताओं द्वारा पहचाने गए Melofee नमूने संभवतः अप्रैल/मई 2022 में बनाए गए थे और एक सामान्य कोड आधार साझा करते थे।
हालाँकि, मैलवेयर के विभिन्न संस्करण संचार प्रोटोकॉल, एन्क्रिप्शन और कार्यक्षमता में मामूली अंतर दिखाते हैं। मैलवेयर के नवीनतम संस्करण में कर्नेल मोड रूटकिट है, जो रेप्टाइल नामक एक ओपन-सोर्स प्रोजेक्ट का एक संशोधित संस्करण है। मेलोफी रूटकिट की सीमित कार्यक्षमता है, जैसे कि खुद को छिपाने के लिए एक हुक स्थापित करना और दूसरा उपयोगकर्तालैंड घटक के साथ संचार सुनिश्चित करने के लिए, लेकिन यह इसे एक गुप्त खतरा बनाता है। मेलोफी के बारे में विवरण एक फ्रांसीसी साइबर सुरक्षा फर्म द्वारा जारी किया गया।
मेलोफी रूटकिट की संक्रमण श्रृंखला
इस मैलवेयर की संक्रमण श्रृंखला में कई चरण शामिल हैं, जो एक हमलावर-नियंत्रित सर्वर से इंस्टॉलर के साथ-साथ एक कस्टम बाइनरी लाने के लिए शेल कमांड के निष्पादन के साथ शुरू होते हैं। इंस्टॉलर, जो सी ++ में लिखा गया है, रूटकिट और सर्वर इम्प्लांट दोनों को तैनात करने के लिए ज़िम्मेदार है, यह सुनिश्चित करता है कि दोनों बूट समय पर निष्पादित हों। एक बार स्थापित होने के बाद, रूटकिट और इम्प्लांट एक साथ काम करते हैं ताकि पता लगाने से छुपा रहे और रीबूट में बने रहें।
इम्प्लांट में ही कई क्षमताएं हैं, जिसमें इसकी प्रक्रिया को समाप्त करने और दृढ़ता को दूर करने, खुद को अपडेट करने और पुनरारंभ करने, बातचीत के लिए एक नया सॉकेट बनाने, सिस्टम की जानकारी एकत्र करने, फ़ाइलों को पढ़ने और लिखने, एक शेल लॉन्च करने और निर्देशिकाओं को प्रबंधित करने की क्षमता शामिल है। यह इसे हमलावरों के लिए पीड़ित के सिस्टम तक पहुंच और नियंत्रण हासिल करने के लिए उपयोग करने के लिए एक शक्तिशाली उपकरण बनाता है।
कमांड-एंड-कंट्रोल (सी एंड सी) सर्वर के साथ संवाद करने के लिए, मेलोफी मैलवेयर कस्टम पैकेट प्रारूप का उपयोग करके टीसीपी संचार का समर्थन करता है। यह सी एंड सी सर्वर के साथ डेटा का आदान-प्रदान करने के लिए एक टीएलएस एन्क्रिप्टेड चैनल का भी उपयोग कर सकता है, संचार के लिए सुरक्षा की एक अतिरिक्त परत प्रदान करता है। इसके अतिरिक्त, मैलवेयर संभावित संचार विधियों की सीमा का विस्तार करते हुए, KCP प्रोटोकॉल का उपयोग करके डेटा भेज सकता है।
माना जाता है कि Winnti Group दशकों से सक्रिय है
Winnti, जिसे APT41 , ब्लैकफ्लाई, बेरियम, कांस्य एटलस, डबल ड्रैगन, दुष्ट स्पाइडर और दुष्ट पांडा जैसे कई उपनामों से भी जाना जाता है, एक कुख्यात हैकिंग समूह है जिसे चीनी सरकार द्वारा प्रायोजित माना जाता है। समूह कम से कम 2007 से साइबर जासूसी और आर्थिक रूप से प्रेरित हमलों को सक्रिय रूप से शुरू कर रहा है। Winnti समूह स्वास्थ्य सेवा, गेमिंग और प्रौद्योगिकी सहित विभिन्न क्षेत्रों में संगठनों के खिलाफ कई हाई-प्रोफाइल हमलों के लिए जिम्मेदार है।
हाल ही में, मेलोफी इंफ्रास्ट्रक्चर के विश्लेषण से कई अन्य हैकिंग समूहों और उनके कमांड-एंड-कंट्रोल (सी एंड सी) सर्वरों के साथ कनेक्शन का पता चला है। इन समूहों में शैडोपैड , विन्ती और हैलोबॉट शामिल हैं, जो सभी अतीत में विभिन्न हमलों के लिए जिम्मेदार रहे हैं। इसके अतिरिक्त, मेलोफी इंफ्रास्ट्रक्चर को कई डोमेन से भी जोड़ा गया है जिनके पास है
