Melofee Malware
È stato scoperto che il malware soprannominato Melofee prende di mira i server Linux. Questo malware precedentemente sconosciuto viene distribuito accompagnato da un rootkit in modalità kernel e viene installato sul dispositivo violato utilizzando i comandi della shell, in modo simile ad altri rootkit Linux impiegati dal gruppo di spionaggio informatico cinese Winnti. I campioni Melofee identificati dai ricercatori infosec sono stati probabilmente creati nell'aprile/maggio 2022 e condividono una base di codice comune.
Tuttavia, le diverse versioni del malware mostrano piccole differenze nel protocollo di comunicazione, nella crittografia e nella funzionalità. L'ultima versione del malware contiene un rootkit in modalità kernel, che è una versione modificata di un progetto open source chiamato Reptile. Il rootkit Melofee ha funzionalità limitate, come l'installazione di un hook per nascondersi e un altro per garantire la comunicazione con il componente userland, ma ciò lo rende una minaccia più furtiva. I dettagli su Melofee sono stati rilasciati da una società di sicurezza informatica francese.
La catena di infezione del Rootkit Melofee
La catena di infezione di questo malware prevede diversi passaggi, che iniziano con l'esecuzione di comandi shell per recuperare un programma di installazione e un file binario personalizzato da un server controllato dall'aggressore. Il programma di installazione, scritto in C++, è responsabile della distribuzione sia del rootkit che dell'impianto del server, assicurando che entrambi vengano eseguiti al momento dell'avvio. Una volta installati, il rootkit e l'impianto lavorano insieme per rimanere nascosti al rilevamento e persistere durante i riavvii.
L'impianto stesso ha diverse capacità, inclusa la capacità di terminare il suo processo e rimuovere la persistenza, aggiornarsi e riavviarsi, creare un nuovo socket per l'interazione, raccogliere informazioni di sistema, leggere e scrivere file, avviare una shell e gestire directory. Questo lo rende un potente strumento che gli aggressori possono utilizzare per ottenere l'accesso e il controllo sul sistema di una vittima.
Per comunicare con il server Command-and-Control (C&C), il malware Melofee supporta la comunicazione TCP utilizzando un formato di pacchetto personalizzato. Può anche utilizzare un canale crittografato TLS per scambiare dati con il server C&C, fornendo un ulteriore livello di sicurezza alla comunicazione. Inoltre, il malware può inviare dati utilizzando il protocollo KCP, ampliando la gamma di possibili metodi di comunicazione.
Si ritiene che il gruppo Winnti sia attivo da decenni
Winnti, noto anche con diversi alias come APT41 , Blackfly, Bario, Bronze Atlas, Double Dragon, Wicked Spider e Wicked Panda, è un famigerato gruppo di hacker che si ritiene sia sponsorizzato dal governo cinese. Il gruppo ha lanciato attivamente spionaggio informatico e attacchi motivati finanziariamente almeno dal 2007. Il gruppo Winnti è stato responsabile di numerosi attacchi di alto profilo contro organizzazioni in vari settori, tra cui sanità, giochi e tecnologia.
Di recente, l'analisi dell'infrastruttura Melofee ha rivelato connessioni con diversi altri gruppi di hacker e i loro server di comando e controllo (C&C). Questi gruppi includono ShadowPad , Winnti e HelloBot, tutti responsabili di vari attacchi in passato. Inoltre, l'infrastruttura Melofee è stata anche collegata a diversi domini che hanno