Perisian Hasad Melofee

Malware yang digelar Melofee telah ditemui untuk menyasarkan pelayan Linux. Perisian hasad yang tidak diketahui sebelum ini digunakan disertakan dengan rootkit mod kernel dan dipasang pada peranti yang dilanggar menggunakan arahan shell, serupa dengan rootkit Linux lain yang digunakan oleh kumpulan pengintipan siber China Winnti. Sampel Melofee yang dikenal pasti oleh penyelidik infosec berkemungkinan dibuat pada April/Mei 2022 dan berkongsi asas kod yang sama.

Walau bagaimanapun, versi perisian hasad yang berbeza menunjukkan perbezaan kecil dalam protokol komunikasi, penyulitan dan kefungsian. Versi terbaru perisian hasad mengandungi kit akar mod kernel, yang merupakan versi diubah suai projek sumber terbuka yang dipanggil Reptilia. Rootkit Melofee mempunyai fungsi terhad, seperti memasang cangkuk untuk menyembunyikan dirinya dan satu lagi untuk memastikan komunikasi dengan komponen userland, tetapi itu menjadikannya ancaman yang lebih tersembunyi. Butiran tentang Melofee dikeluarkan oleh firma keselamatan siber Perancis.

Rantaian Jangkitan Melofee Rootkit

Rantaian jangkitan perisian hasad ini melibatkan beberapa langkah, yang bermula dengan pelaksanaan perintah shell untuk mengambil pemasang serta binari tersuai daripada pelayan yang dikawal oleh penyerang. Pemasang, yang ditulis dalam C++, bertanggungjawab untuk menggunakan kedua-dua rootkit dan implan pelayan, memastikan kedua-duanya dilaksanakan pada masa but. Setelah dipasang, rootkit dan implan berfungsi bersama untuk kekal tersembunyi daripada pengesanan dan berterusan sepanjang but semula.

Implan itu sendiri mempunyai beberapa keupayaan, termasuk keupayaan untuk menamatkan prosesnya dan mengalih keluar kegigihan, mengemas kini dirinya dan memulakan semula, mencipta soket baharu untuk interaksi, mengumpul maklumat sistem, membaca dan menulis fail, melancarkan shell dan menguruskan direktori. Ini menjadikannya alat yang berkuasa untuk digunakan oleh penyerang untuk mendapatkan akses dan kawalan ke atas sistem mangsa.

Untuk berkomunikasi dengan pelayan Command-and-Control (C&C), malware Melofee menyokong komunikasi TCP menggunakan format paket tersuai. Ia juga boleh menggunakan saluran yang disulitkan TLS untuk bertukar-tukar data dengan pelayan C&C, memberikan lapisan keselamatan tambahan kepada komunikasi. Selain itu, perisian hasad boleh menghantar data menggunakan protokol KCP, mengembangkan julat kaedah komunikasi yang mungkin.

Kumpulan Winnti Dipercayai Aktif Berpuluh Tahun

Winnti, juga dikenali dengan beberapa alias seperti APT41 , Blackfly, Barium, Bronze Atlas, Double Dragon, Wicked Spider dan Wicked Panda, adalah kumpulan penggodaman terkenal yang dipercayai ditaja oleh kerajaan China. Kumpulan itu secara aktif melancarkan pengintipan siber dan serangan bermotifkan kewangan sejak sekurang-kurangnya 2007. Kumpulan Winnti telah bertanggungjawab untuk beberapa serangan berprofil tinggi terhadap organisasi dalam pelbagai sektor, termasuk penjagaan kesihatan, permainan dan teknologi.

Baru-baru ini, analisis infrastruktur Melofee telah mendedahkan hubungan dengan beberapa kumpulan penggodaman lain dan pelayan arahan dan kawalan (C&C) mereka. Kumpulan ini termasuk ShadowPad , Winnti dan HelloBot, yang kesemuanya telah bertanggungjawab untuk pelbagai serangan pada masa lalu. Selain itu, infrastruktur Melofee juga telah dikaitkan dengan beberapa domain yang mempunyai