Melofee skadelig programvare

Skadevaren kalt Melofee har blitt oppdaget for å målrette mot Linux-servere. Denne tidligere ukjente skadevare er utplassert sammen med et kjernemodus-rootkit og installeres på den brutte enheten ved hjelp av skallkommandoer, på samme måte som andre Linux-rootkits som brukes av den kinesiske cyberspionagegruppen Winnti. Melofee-prøvene identifisert av infosec-forskerne ble sannsynligvis opprettet i april/mai 2022 og deler en felles kodebase.

Imidlertid viser de forskjellige versjonene av skadelig programvare mindre forskjeller i kommunikasjonsprotokoll, kryptering og funksjonalitet. Den siste versjonen av skadelig programvare inneholder et rootkit i kjernemodus, som er en modifisert versjon av et åpen kildekodeprosjekt kalt Reptile. Melofee rootkit har begrenset funksjonalitet, for eksempel å installere en krok for å skjule seg selv og en annen for å sikre kommunikasjon med brukerland-komponenten, men det gjør det til en snikende trussel. Detaljer om Melofee ble utgitt av et fransk cybersikkerhetsfirma.

Infeksjonskjeden til Melofee Rootkit

Infeksjonskjeden til denne skadevaren involverer flere trinn, som begynner med utføring av skallkommandoer for å hente et installasjonsprogram samt en tilpasset binærfil fra en angriperkontrollert server. Installasjonsprogrammet, som er skrevet i C++, er ansvarlig for å distribuere både rotsettet og serverimplantatet, og sikre at begge utføres ved oppstart. Når det er installert, fungerer rootsettet og implantatet sammen for å forbli skjult for gjenkjenning og vedvare under omstart.

Selve implantatet har flere funksjoner, inkludert muligheten til å avslutte prosessen og fjerne utholdenhet, oppdatere seg selv og starte på nytt, lage en ny kontakt for interaksjon, samle inn systeminformasjon, lese og skrive filer, starte et skall og administrere kataloger. Dette gjør det til et kraftig verktøy for angripere å bruke for å få tilgang til og kontroll over et offers system.

For å kommunisere med Command-and-Control-serveren (C&C) støtter Melofee malware TCP-kommunikasjon ved hjelp av et tilpasset pakkeformat. Den kan også bruke en TLS-kryptert kanal for å utveksle data med C&C-serveren, noe som gir et ekstra lag med sikkerhet til kommunikasjonen. I tillegg kan skadelig programvare sende data ved hjelp av KCP-protokollen, og utvide utvalget av mulige kommunikasjonsmetoder.

Winnti-gruppen antas å ha vært aktiv i flere tiår

Winnti, også kjent under flere aliaser som APT41 , Blackfly, Barium, Bronze Atlas, Double Dragon, Wicked Spider og Wicked Panda, er en beryktet hackergruppe som antas å være sponset av den kinesiske regjeringen. Gruppen har aktivt lansert cyberspionasje og økonomisk motiverte angrep siden minst 2007. Winnti- gruppen har vært ansvarlig for flere høyprofilerte angrep mot organisasjoner i ulike sektorer, inkludert helsevesen, spill og teknologi.

Nylig har analyse av Melofee-infrastrukturen avslørt forbindelser med flere andre hackergrupper og deres kommando-og-kontroll-servere (C&C). Disse gruppene inkluderer ShadowPad , Winnti og HelloBot, som alle har vært ansvarlige for ulike angrep tidligere. I tillegg har Melofee-infrastrukturen også vært knyttet til flere domener som har