Melofee zlonamjerni softver

Otkriveno je da zlonamjerni softver nazvan Melofee cilja na Linux poslužitelje. Ovaj prethodno nepoznati zlonamjerni softver implementiran je popraćen rootkitom u načinu rada jezgre i instaliran je na probijeni uređaj pomoću naredbi ljuske, slično ostalim Linux rootkitovima koje koristi kineska kibernetička špijunska grupa Winnti. Uzorci Melofeeja koje su identificirali istraživači infoseca vjerojatno su stvoreni u travnju/svibnju 2022. i dijele zajedničku bazu koda.

Međutim, različite verzije zlonamjernog softvera pokazuju manje razlike u komunikacijskom protokolu, enkripciji i funkcionalnosti. Najnovija verzija zlonamjernog softvera sadrži rootkit u načinu rada jezgre, koji je modificirana verzija projekta otvorenog koda pod nazivom Reptile. Melofee rootkit ima ograničenu funkcionalnost, kao što je instaliranje kuke za skrivanje sebe i još jedne za osiguravanje komunikacije s korisničkom komponentom, ali to ga čini prikrivenijom prijetnjom. Detalje o Melofeeju objavila je francuska tvrtka za kibernetičku sigurnost.

Lanac infekcije Melofee Rootkita

Lanac zaraze ovog zlonamjernog softvera uključuje nekoliko koraka koji počinju izvršavanjem naredbi ljuske za dohvaćanje instalacijskog programa kao i prilagođene binarne datoteke s poslužitelja kojim upravlja napadač. Instalacijski program, koji je napisan u C++, odgovoran je za implementaciju i rootkita i implantata poslužitelja, osiguravajući da se oba izvode tijekom pokretanja sustava. Jednom instalirani, rootkit i implantat rade zajedno kako bi ostali skriveni od otkrivanja i postojali tijekom ponovnog pokretanja.

Sam implantat ima nekoliko mogućnosti, uključujući mogućnost prekidanja procesa i uklanjanja postojanosti, ažuriranja i ponovnog pokretanja, stvaranja novog socketa za interakciju, prikupljanja informacija o sustavu, čitanja i pisanja datoteka, pokretanja ljuske i upravljanja direktorijima. To ga čini moćnim alatom za napadače kako bi dobili pristup i kontrolu nad žrtvinim sustavom.

Za komunikaciju s Command-and-Control (C&C) poslužiteljem, zlonamjerni softver Melofee podržava TCP komunikaciju pomoću prilagođenog formata paketa. Također može koristiti TLS šifrirani kanal za razmjenu podataka s C&C poslužiteljem, pružajući dodatni sloj sigurnosti komunikaciji. Dodatno, zlonamjerni softver može slati podatke pomoću KCP protokola, proširujući raspon mogućih komunikacijskih metoda.

Vjeruje se da je Winnti Group aktivna desetljećima

Winnti, također poznat pod nekoliko nadimaka kao što su APT41 , Blackfly, Barium, Bronze Atlas, Double Dragon, Wicked Spider i Wicked Panda, zloglasna je hakerska skupina za koju se vjeruje da je sponzorirana od strane kineske vlade. Grupa aktivno pokreće cyber špijunažu i financijski motivirane napade od najmanje 2007. Winnti grupa odgovorna je za nekoliko visokoprofilnih napada na organizacije u različitim sektorima, uključujući zdravstvo, igre i tehnologiju.

Nedavno je analiza infrastrukture Melofee otkrila veze s nekoliko drugih hakerskih skupina i njihovim poslužiteljima za naredbu i kontrolu (C&C). Te grupe uključuju ShadowPad , Winnti i HelloBot, a sve su bile odgovorne za razne napade u prošlosti. Osim toga, infrastruktura Melofee također je povezana s nekoliko domena koje imaju