मेलोफी मालवेयर

मेलोफी डब गरिएको मालवेयर लिनक्स सर्भरहरूलाई लक्षित गर्न पत्ता लगाइएको छ। यो पहिलेको अज्ञात मालवेयर कर्नेल मोड रूटकिटको साथमा तैनात गरिएको छ र चिनियाँ साइबरस्पाइनेज समूह Winnti द्वारा नियोजित अन्य लिनक्स रूटकिटहरू जस्तै शेल आदेशहरू प्रयोग गरेर उल्लंघन गरिएको उपकरणमा स्थापना गरिएको छ। इन्फोसेक अनुसन्धानकर्ताहरूले पहिचान गरेका मेलोफी नमूनाहरू सम्भवतः अप्रिल/मे २०२२ मा सिर्जना गरिएको थियो र साझा कोड आधार साझा गरिएको थियो।

यद्यपि, मालवेयरका विभिन्न संस्करणहरूले सञ्चार प्रोटोकल, इन्क्रिप्सन, र कार्यक्षमतामा सानो भिन्नता देखाउँछन्। मालवेयरको नवीनतम संस्करणले कर्नेल मोड रूटकिट समावेश गर्दछ, जुन रिप्टाइल भनिने खुला स्रोत परियोजनाको परिमार्जित संस्करण हो। मेलोफी रूटकिटसँग सीमित कार्यक्षमता छ, जस्तै आफैलाई लुकाउनको लागि हुक स्थापना गर्ने र प्रयोगकर्ता भूमि कम्पोनेन्टसँग सञ्चार सुनिश्चित गर्न अर्को एउटा, तर यसले यसलाई चोरी खतरा बनाउँछ। मेलोफीको बारेमा विवरण फ्रान्सेली साइबर सुरक्षा फर्म द्वारा जारी गरिएको थियो।

मेलोफी रूटकिटको संक्रमण श्रृंखला

यस मालवेयरको संक्रमण श्रृंखलाले धेरै चरणहरू समावेश गर्दछ, जुन स्थापनाकर्ता ल्याउनको लागि शेल आदेशहरूको कार्यान्वयनको साथसाथै आक्रमणकर्ता-नियन्त्रित सर्भरबाट अनुकूलन बाइनरीको साथ सुरु हुन्छ। स्थापनाकर्ता, जुन C++ मा लेखिएको छ, रूटकिट र सर्भर इम्प्लान्ट दुवैलाई प्रयोग गर्नको लागि जिम्मेवार छ, दुबै बुटको समयमा कार्यान्वयन भएको सुनिश्चित गर्दै। एक पटक स्थापना भएपछि, रूटकिट र इम्प्लान्टले पत्ता लगाउनबाट लुकाउन र रिबुटहरूमा जारी रहन सँगै काम गर्दछ।

प्रत्यारोपण आफैंमा धेरै क्षमताहरू छन्, जसमा यसको प्रक्रिया समाप्त गर्ने र दृढता हटाउने, आफैलाई अद्यावधिक गर्ने र पुनः सुरु गर्ने, अन्तरक्रियाको लागि नयाँ सकेट सिर्जना गर्ने, प्रणाली जानकारी सङ्कलन गर्ने, फाइलहरू पढ्न र लेख्ने, शेल सुरु गर्ने, र डाइरेक्टरीहरू व्यवस्थापन गर्ने क्षमता समावेश छ। यसले आक्रमणकारीहरूलाई पीडितको प्रणालीमा पहुँच र नियन्त्रण गर्न प्रयोग गर्नको लागि यो शक्तिशाली उपकरण बनाउँछ।

Command-and-Control (C&C) सर्भरसँग सञ्चार गर्न, मेलोफी मालवेयरले अनुकूलन प्याकेट ढाँचा प्रयोग गरेर TCP संचारलाई समर्थन गर्दछ। यसले C&C सर्भरसँग डाटा आदानप्रदान गर्न TLS इन्क्रिप्टेड च्यानल पनि प्रयोग गर्न सक्छ, सञ्चारमा सुरक्षाको थप तह प्रदान गर्दछ। थप रूपमा, मालवेयरले सम्भावित सञ्चार विधिहरूको दायरा विस्तार गर्दै KCP प्रोटोकल प्रयोग गरेर डाटा पठाउन सक्छ।

विन्ती समूह दशकौंदेखि सक्रिय रहेको विश्वास गरिन्छ

Winnti, APT41 , Blackfly, Barium, Bronze Atlas, Double Dragon, Wicked Spider र Wicked Panda जस्ता धेरै उपनामहरूद्वारा पनि चिनिन्छ, चिनियाँ सरकारद्वारा प्रायोजित भएको मानिने कुख्यात ह्याकिङ समूह हो। समूहले कम्तिमा 2007 देखि सक्रिय रूपमा साइबर जासूसी र आर्थिक रूपमा उत्प्रेरित आक्रमणहरू सुरु गर्दै आएको छ। विन्टी समूहले स्वास्थ्य सेवा, गेमिङ र प्रविधिलगायत विभिन्न क्षेत्रहरूमा संगठनहरू विरुद्ध धेरै उच्च-प्रोफाइल आक्रमणहरूको लागि जिम्मेवार रहेको छ।

भर्खरै, मेलोफी पूर्वाधारको विश्लेषणले धेरै अन्य ह्याकिंग समूहहरू र तिनीहरूको कमाण्ड-एन्ड-कन्ट्रोल (C&C) सर्भरहरूसँग जडानहरू प्रकट गरेको छ। यी समूहहरूमा ShadowPad , Winnti, र HelloBot समावेश छन्, ती सबै विगतमा विभिन्न आक्रमणका लागि जिम्मेवार छन्। थप रूपमा, मेलोफी पूर्वाधार पनि धेरै डोमेनहरूसँग जोडिएको छ