Melofee Malware

Felfedezték, hogy a Melofee nevű kártevő Linux szervereket céloz meg. Ezt a korábban ismeretlen kártevőt egy kernel módú rootkit kíséri, és shell-parancsok segítségével telepítik a feltört eszközre, hasonlóan a Winnti kínai kiberkémkedési csoport által használt többi Linux rootkithez. Az infosec kutatói által azonosított Melofee mintákat valószínűleg 2022 áprilisában/májusában hozták létre, és közös kódbázison osztoznak.

A kártevő különböző verziói azonban kisebb eltéréseket mutatnak a kommunikációs protokollban, a titkosításban és a funkcionalitásban. A kártevő legújabb verziója egy kernel módú rootkitet tartalmaz, amely a Reptile nevű nyílt forráskódú projekt módosított változata. A Melofee rootkit korlátozott funkcionalitással rendelkezik, például egy horgot telepít, hogy elrejtse magát, és egy másikat, hogy biztosítsa a kommunikációt a userland összetevővel, de ez még lopakodóbb fenyegetést jelent. A Melofee-ról egy francia kiberbiztonsági cég adott ki részleteket.

A Melofee Rootkit fertőzési lánca

Ennek a rosszindulatú programnak a fertőzési lánca több lépésből áll, amelyek a shell-parancsok végrehajtásával kezdődnek, hogy letöltsék a telepítőt, valamint egy egyéni bináris fájlt a támadó által vezérelt szerverről. A telepítő, amely C++ nyelven íródott, felelős mind a rootkit, mind a kiszolgálóimplantátum telepítéséért, biztosítva, hogy mindkettő végrehajtásra kerüljön a rendszerindításkor. A telepítés után a rootkit és az implantátum együtt működik, hogy rejtve maradjon az észlelés elől, és az újraindítások során is fennmaradjon.

Maga az implantátum számos funkcióval rendelkezik, beleértve a folyamat leállítását és a perzisztencia eltávolítását, a frissítést és az újraindítást, az interakcióhoz új socket létrehozását, a rendszerinformációk összegyűjtését, a fájlok olvasását és írását, a shell indítását és a könyvtárak kezelését. Ez hatékony eszközzé teszi a támadók számára, hogy hozzáférhessenek az áldozat rendszeréhez, és ellenőrizzék azt.

A Command-and-Control (C&C) szerverrel való kommunikációhoz a Melofee malware támogatja a TCP kommunikációt egyéni csomagformátum használatával. TLS-titkosított csatornát is használhat a C&C szerverrel való adatcseréhez, további biztonsági réteget biztosítva a kommunikációnak. Ezenkívül a kártevő a KCP protokoll segítségével is képes adatokat küldeni, kibővítve a lehetséges kommunikációs módszerek körét.

A Winnti Csoportról azt tartják, hogy évtizedek óta aktív

A Winnti, amelyet számos álnéven is ismernek, mint például az APT41 , Blackfly, Barium, Bronze Atlas, Double Dragon, Wicked Spider és Wicked Panda, egy hírhedt hackercsoport, amelyet a kínai kormány támogat. A csoport legalább 2007 óta aktívan indít számítógépes kémkedést és pénzügyi indíttatású támadásokat. A Winnti csoport számos, különböző ágazatokban, köztük az egészségügyben, a játékban és a technológiában működő szervezetek elleni nagy horderejű támadásért volt felelős.

A közelmúltban a Melofee infrastruktúra elemzése kapcsolatokat tárt fel több más hackercsoporttal és azok parancs- és vezérlő (C&C) szervereivel. E csoportok közé tartozik a ShadowPad , a Winnti és a HelloBot, amelyek mindegyike felelős volt a múltban különböző támadásokért. Ezenkívül a Melofee infrastruktúrát számos olyan domainnel is összekapcsolták, amelyek rendelkeznek