„Melofee“ kenkėjiška programa

Aptikta, kad kenkėjiška programa, pavadinta Melofee, skirta Linux serveriams. Ši anksčiau nežinoma kenkėjiška programa yra įdiegta kartu su branduolio režimo rootkit ir įdiegiama pažeistame įrenginyje naudojant apvalkalo komandas, panašiai kaip ir kiti Linux rootkit, kuriuos naudoja Kinijos kibernetinio šnipinėjimo grupė Winnti. „Melofee“ pavyzdžiai, kuriuos nustatė infosec tyrėjai, greičiausiai buvo sukurti 2022 m. balandžio–gegužės mėn. ir turi bendrą kodų bazę.

Tačiau skirtingose kenkėjiškos programos versijose yra nedideli ryšio protokolo, šifravimo ir funkcionalumo skirtumai. Naujausioje kenkėjiškos programinės įrangos versijoje yra branduolio režimo rootkit, kuris yra modifikuota atvirojo kodo projekto, vadinamo Reptile, versija. „Melofee“ rootkit turi ribotas funkcijas, pvz., įdiegti kabliuką, kad pasislėptų, ir kitą, kad būtų užtikrintas ryšys su „userland“ komponentu, tačiau dėl to jis yra slaptesnis. Išsamią informaciją apie Melofee paskelbė prancūzų kibernetinio saugumo įmonė.

„Melofee Rootkit“ infekcijos grandinė

Šios kenkėjiškos programos užkrėtimo grandinė apima kelis veiksmus, kurie prasideda apvalkalo komandų vykdymu, kad būtų galima gauti diegimo programą ir pasirinktinį dvejetainį failą iš užpuoliko valdomo serverio. Diegimo programa, parašyta C++, yra atsakinga už rootkit ir serverio implanto diegimą, užtikrinant, kad abu būtų vykdomi įkrovos metu. Įdiegus rootkit ir implantas veikia kartu, kad liktų paslėpti nuo aptikimo ir išliktų perkraunant.

Pats implantas turi keletą galimybių, įskaitant galimybę nutraukti procesą ir pašalinti patvarumą, atnaujinti save ir paleisti iš naujo, sukurti naują sąveikai skirtą lizdą, rinkti sistemos informaciją, skaityti ir rašyti failus, paleisti apvalkalą ir tvarkyti katalogus. Dėl to tai yra galingas įrankis, kuriuo užpuolikai gali pasiekti aukos sistemą ir ją valdyti.

Kad būtų galima susisiekti su komandų ir valdymo (C&C) serveriu, „Melofee“ kenkėjiška programa palaiko TCP ryšį naudojant pasirinktinį paketo formatą. Jis taip pat gali naudoti TLS užšifruotą kanalą, kad galėtų keistis duomenimis su C&C serveriu, suteikdamas papildomą ryšio saugumo lygį. Be to, kenkėjiška programa gali siųsti duomenis naudodama KCP protokolą, išplėsdama galimų komunikacijos būdų spektrą.

Manoma, kad Winnti grupė veikė dešimtmečius

Winnti, taip pat žinomas keliais slapyvardžiais, tokiais kaip APT41 , Blackfly, Barium, Bronze Atlas, Double Dragon, Wicked Spider ir Wicked Panda, yra liūdnai pagarsėjusi programišių grupė, kurią, kaip manoma, remia Kinijos vyriausybė. Grupė aktyviai vykdo kibernetinį šnipinėjimą ir finansiškai motyvuotas atakas mažiausiai nuo 2007 m. Winnti grupė buvo atsakinga už keletą didelio atgarsio sulaukusių išpuolių prieš įvairių sektorių organizacijas, įskaitant sveikatos priežiūrą, žaidimus ir technologijas.

Neseniai Melofee infrastruktūros analizė atskleidė ryšius su keliomis kitomis įsilaužimo grupėmis ir jų komandų ir valdymo (C&C) serveriais. Šios grupės apima „ShadowPad“ , „Winnti“ ir „HelloBot“, kurios visos anksčiau buvo atsakingos už įvairias atakas. Be to, Melofee infrastruktūra taip pat buvo susieta su keliais domenais, kurie turi