Melofee ļaunprātīga programmatūra

Tika atklāts, ka ļaunprogrammatūra ar nosaukumu Melofee ir vērsta uz Linux serveriem. Šī iepriekš nezināmā ļaunprogrammatūra tiek izvietota kopā ar kodola režīma saknes komplektu un tiek instalēta bojātajā ierīcē, izmantojot čaulas komandas, līdzīgi citiem Linux sakņu komplektiem, ko izmanto Ķīnas kiberspiegošanas grupa Winnti. Infosec pētnieku identificētie Melofee paraugi, visticamāk, tika izveidoti 2022. gada aprīlī/maijā, un tiem ir kopīga kodu bāze.

Tomēr dažādās ļaunprogrammatūras versijās ir nelielas atšķirības sakaru protokolā, šifrēšanā un funkcionalitātē. Ļaunprātīgās programmatūras jaunākajā versijā ir ietverts kodola režīma saknes komplekts, kas ir atvērtā koda projekta ar nosaukumu Reptile modificēta versija. Melofee saknes komplektam ir ierobežota funkcionalitāte, piemēram, āķa instalēšana, lai paslēptu sevi, un vēl viens, lai nodrošinātu saziņu ar userland komponentu, taču tas padara to par slepenāku apdraudējumu. Sīkāku informāciju par Melofee izplatīja franču kiberdrošības firma.

Melofee Rootkit infekcijas ķēde

Šīs ļaunprātīgās programmatūras inficēšanās ķēde ietver vairākas darbības, kas sākas ar čaulas komandu izpildi, lai ielādētu instalētāju, kā arī pielāgotu bināro failu no uzbrucēja kontrolēta servera. Instalēšanas programma, kas ir rakstīta C++ valodā, ir atbildīga gan par rootkit, gan par servera implanta izvietošanu, nodrošinot, ka abi tiek izpildīti sāknēšanas laikā. Pēc instalēšanas saknes komplekts un implants darbojas kopā, lai paliktu paslēpti no atklāšanas un saglabātu atkārtotu palaišanu.

Pašam implantam ir vairākas iespējas, tostarp iespēja pārtraukt tā procesu un noņemt noturību, atjaunināt sevi un restartēt, izveidot jaunu ligzdu mijiedarbībai, apkopot sistēmas informāciju, lasīt un rakstīt failus, palaist čaulu un pārvaldīt direktorijus. Tas padara to par spēcīgu rīku, ko uzbrucēji var izmantot, lai piekļūtu upura sistēmai un kontrolētu to.

Lai sazinātos ar Command-and-Control (C&C) serveri, Melofee ļaunprogrammatūra atbalsta TCP saziņu, izmantojot pielāgotu pakešu formātu. Tā var arī izmantot TLS šifrētu kanālu, lai apmainītos ar datiem ar C&C serveri, nodrošinot saziņai papildu drošības līmeni. Turklāt ļaunprogrammatūra var nosūtīt datus, izmantojot KCP protokolu, paplašinot iespējamo saziņas metožu klāstu.

Tiek uzskatīts, ka Winnti grupa ir bijusi aktīva jau vairākus gadu desmitus

Winnti, kas pazīstams arī ar vairākiem aizstājvārdiem, piemēram, APT41 , Blackfly, Barium, Bronze Atlas, Double Dragon, Wicked Spider un Wicked Panda, ir bēdīgi slavena hakeru grupa, kuru, domājams, sponsorē Ķīnas valdība. Grupa ir aktīvi sākusi kiberspiegošanu un finansiāli motivētus uzbrukumus vismaz kopš 2007. gada. Winnti grupa ir bijusi atbildīga par vairākiem augsta profila uzbrukumiem organizācijām dažādās nozarēs, tostarp veselības aprūpē, spēlēs un tehnoloģijās.

Nesen Melofee infrastruktūras analīze atklāja savienojumus ar vairākām citām hakeru grupām un to komandēšanas un kontroles (C&C) serveriem. Šīs grupas ir ShadowPad , Winnti un HelloBot, kuras visas iepriekš ir bijušas atbildīgas par dažādiem uzbrukumiem. Turklāt Melofee infrastruktūra ir saistīta arī ar vairākiem domēniem