មេរោគ Melofee

មេរោគដែលមានឈ្មោះថា Melofee ត្រូវបានរកឃើញដើម្បីកំណត់គោលដៅម៉ាស៊ីនមេលីនុច។ មេរោគដែលមិនស្គាល់ពីមុននេះត្រូវបានដាក់ពង្រាយអមដោយ rootkit របៀបខឺណែល ហើយត្រូវបានដំឡើងនៅលើឧបករណ៍ដែលបំពានដោយប្រើពាក្យបញ្ជាសែល ស្រដៀងទៅនឹង rootkits លីនុចផ្សេងទៀតដែលប្រើដោយក្រុមចារកម្មអ៊ីនធឺណេតចិន Winnti ។ គំរូ Melofee ដែលកំណត់ដោយអ្នកស្រាវជ្រាវ infosec ទំនងជាត្រូវបានបង្កើតឡើងក្នុងខែមេសា/ឧសភា ឆ្នាំ 2022 និងចែករំលែកមូលដ្ឋានកូដទូទៅមួយ។

ទោះយ៉ាងណាក៏ដោយ កំណែផ្សេងគ្នានៃមេរោគបង្ហាញភាពខុសគ្នាតិចតួចនៅក្នុងពិធីការទំនាក់ទំនង ការអ៊ិនគ្រីប និងមុខងារ។ កំណែចុងក្រោយបំផុតនៃមេរោគមាន rootkit របៀបខឺណែល ដែលជាកំណែដែលបានកែប្រែនៃគម្រោងប្រភពបើកចំហដែលហៅថាសត្វល្មូន។ Melofee rootkit មានមុខងារកំណត់ ដូចជាការដំឡើងទំពក់ដើម្បីលាក់ខ្លួន និងមួយទៀតដើម្បីធានាការប្រាស្រ័យទាក់ទងជាមួយសមាសធាតុ userland ប៉ុន្តែវាធ្វើឱ្យវាក្លាយជាការគំរាមកំហែងកាន់តែសម្ងាត់។ ព័ត៌មានលម្អិតអំពី Melofee ត្រូវបានចេញផ្សាយដោយក្រុមហ៊ុនសន្តិសុខអ៊ីនធឺណិតរបស់បារាំង។

ខ្សែសង្វាក់ឆ្លងនៃ Melofee Rootkit

ខ្សែសង្វាក់ឆ្លងមេរោគនៃមេរោគនេះពាក់ព័ន្ធនឹងជំហានជាច្រើន ដែលចាប់ផ្តើមជាមួយនឹងការប្រតិបត្តិនៃពាក្យបញ្ជាសែល ដើម្បីទៅយកកម្មវិធីដំឡើង ក៏ដូចជាប្រព័ន្ធគោលពីរផ្ទាល់ខ្លួនពីម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។ កម្មវិធីដំឡើងដែលត្រូវបានសរសេរក្នុង C++ ទទួលខុសត្រូវលើការដាក់ពង្រាយទាំង rootkit និង server implant ដោយធានាថាទាំងពីរត្រូវបានប្រតិបត្តិនៅពេលចាប់ផ្ដើម។ នៅពេលដំឡើងរួច rootkit និង implant ធ្វើការរួមគ្នាដើម្បីរក្សាការលាក់ពីការរកឃើញ និងបន្តឆ្លងកាត់ការចាប់ផ្ដើមឡើងវិញ។

ការផ្សាំខ្លួនវាមានសមត្ថភាពជាច្រើន រួមទាំងសមត្ថភាពក្នុងការបញ្ចប់ដំណើរការរបស់វា និងដកការជាប់លាប់ ធ្វើបច្ចុប្បន្នភាពខ្លួនវា និងចាប់ផ្តើមឡើងវិញ បង្កើតរន្ធថ្មីសម្រាប់អន្តរកម្ម ប្រមូលព័ត៌មានប្រព័ន្ធ អាន និងសរសេរឯកសារ បើកដំណើរការសែល និងគ្រប់គ្រងថត។ នេះធ្វើឱ្យវាក្លាយជាឧបករណ៍ដ៏មានអានុភាពសម្រាប់អ្នកវាយប្រហារក្នុងការប្រើប្រាស់ដើម្បីទទួលបានសិទ្ធិចូលប្រើប្រាស់ និងគ្រប់គ្រងលើប្រព័ន្ធរបស់ជនរងគ្រោះ។

ដើម្បីទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ Command-and-Control (C&C) មេរោគ Melofee គាំទ្រការទំនាក់ទំនង TCP ដោយប្រើទម្រង់កញ្ចប់ព័ត៌មានផ្ទាល់ខ្លួន។ វាក៏អាចប្រើឆានែលដែលបានអ៊ិនគ្រីប TLS ដើម្បីផ្លាស់ប្តូរទិន្នន័យជាមួយម៉ាស៊ីនមេ C&C ដោយផ្តល់នូវស្រទាប់សុវត្ថិភាពបន្ថែមដល់ទំនាក់ទំនង។ លើសពីនេះ មេរោគអាចផ្ញើទិន្នន័យដោយប្រើពិធីការ KCP ដោយពង្រីកវិសាលភាពនៃវិធីសាស្ត្រទំនាក់ទំនងដែលអាចធ្វើទៅបាន។

Winnti Group ត្រូវបានគេជឿថាមានសកម្មភាពជាច្រើនទសវត្សរ៍មកហើយ

Winnti ដែលត្រូវបានគេស្គាល់ផងដែរដោយឈ្មោះក្លែងក្លាយជាច្រើនដូចជា APT41 , Blackfly, Barium, Bronze Atlas, Double Dragon, Wicked Spider និង Wicked Panda គឺជាក្រុម hacking ដ៏ល្បីល្បាញដែលគេជឿថាត្រូវបានឧបត្ថម្ភដោយរដ្ឋាភិបាលចិន។ ក្រុមនេះបាននិងកំពុងដំណើរការយ៉ាងសកម្មនូវចារកម្មតាមអ៊ីនធឺណិត និងការវាយប្រហារដែលជំរុញដោយហិរញ្ញវត្ថុចាប់តាំងពីយ៉ាងហោចណាស់ឆ្នាំ 2007។ ក្រុម Winnti បានទទួលខុសត្រូវចំពោះការវាយប្រហារកម្រិតខ្ពស់ជាច្រើនប្រឆាំងនឹងអង្គការក្នុងវិស័យផ្សេងៗ រួមទាំងការថែទាំសុខភាព ហ្គេម និងបច្ចេកវិទ្យា។

ថ្មីៗនេះ ការវិភាគលើហេដ្ឋារចនាសម្ព័ន្ធ Melofee បានបង្ហាញពីការតភ្ជាប់ជាមួយក្រុមលួចចូលផ្សេងទៀត និងម៉ាស៊ីនមេបញ្ជា និងគ្រប់គ្រង (C&C) របស់ពួកគេ។ ក្រុមទាំងនេះរួមមាន ShadowPad , Winnti, និង HelloBot ដែលសុទ្ធតែជាអ្នកទទួលខុសត្រូវចំពោះការវាយប្រហារផ្សេងៗនាពេលកន្លងមក។ លើសពីនេះទៀតហេដ្ឋារចនាសម្ព័ន្ធ Melofee ក៏ត្រូវបានភ្ជាប់ទៅនឹងដែនមួយចំនួនដែលមាន