멜로피 멀웨어

Melofee라는 악성코드가 Linux 서버를 대상으로 하는 것으로 밝혀졌습니다. 이전에 알려지지 않은 이 맬웨어는 커널 모드 루트킷과 함께 배포되며 중국 사이버 스파이 그룹 Winnti가 사용하는 다른 Linux 루트킷과 유사한 셸 명령을 사용하여 침해된 장치에 설치됩니다. Infosec 연구원이 식별한 Melofee 샘플은 2022년 4월/5월에 생성되었을 가능성이 높으며 공통 코드 기반을 공유합니다.

그러나 다른 버전의 맬웨어는 통신 프로토콜, 암호화 및 기능에서 약간의 차이를 보입니다. 최신 버전의 악성코드에는 Reptile이라는 오픈 소스 프로젝트의 수정된 버전인 커널 모드 루트킷이 포함되어 있습니다. Melofee 루트킷은 자신을 숨기기 위한 후크와 사용자 영역 구성 요소와의 통신을 보장하기 위한 또 다른 후크를 설치하는 등의 제한된 기능을 가지고 있지만 더 은밀한 위협이 됩니다. Melofee에 대한 세부 정보는 프랑스 사이버 보안 회사에서 공개했습니다.

Melofee 루트킷의 감염 사슬

이 맬웨어의 감염 체인에는 공격자가 제어하는 서버에서 설치 프로그램과 사용자 지정 바이너리를 가져오는 셸 명령 실행으로 시작하는 여러 단계가 포함됩니다. C++로 작성된 설치 프로그램은 루트킷과 서버 임플란트를 모두 배포하여 부팅 시 둘 다 실행되도록 합니다. 일단 설치되면 루트킷과 임플란트가 함께 작동하여 감지되지 않고 재부팅 후에도 지속됩니다.

임플란트 자체에는 프로세스 종료 및 지속성 제거, 자체 업데이트 및 다시 시작, 상호 작용을 위한 새 소켓 생성, 시스템 정보 수집, 파일 읽기 및 쓰기, 셸 실행, 디렉터리 관리 등 여러 기능이 있습니다. 이는 공격자가 피해자의 시스템에 액세스하고 제어하기 위해 사용할 수 있는 강력한 도구입니다.

C&C(Command-and-Control) 서버와 통신하기 위해 Melofee 악성코드는 맞춤형 패킷 형식을 사용하여 TCP 통신을 지원합니다. 또한 TLS 암호화 채널을 사용하여 C&C 서버와 데이터를 교환하여 통신에 추가 보안 계층을 제공할 수 있습니다. 또한 악성코드는 KCP 프로토콜을 사용하여 데이터를 전송할 수 있어 가능한 통신 방법의 범위를 확장합니다.

Winnti Group은 수십 년 동안 활동한 것으로 여겨집니다.

APT41 , Blackfly, Barium, Bronze Atlas, Double Dragon, Wicked Spider 및 Wicked Panda와 같은 여러 별칭으로도 알려진 Winnti는 중국 정부가 후원하는 것으로 알려진 악명 높은 해킹 그룹입니다. 이 그룹은 적어도 2007년부터 사이버 스파이 활동과 금전적 동기가 있는 공격을 적극적으로 시작했습니다. Winnti 그룹은 의료, 게임, 기술을 비롯한 다양한 분야의 조직을 대상으로 한 몇 차례의 세간의 이목을 끄는 공격을 담당했습니다.

최근 Melofee 인프라에 대한 분석에서 다른 여러 해킹 그룹 및 해당 명령 및 제어(C&C) 서버와의 연결이 밝혀졌습니다. 이러한 그룹에는 과거에 다양한 공격을 담당했던 ShadowPad , Winnti 및 HelloBot이 포함됩니다. 또한 Melofee 인프라는 다음과 같은 여러 도메인에 연결되었습니다.