Melofee-malware

Er is ontdekt dat de malware genaamd Melofee zich richt op Linux-servers. Deze voorheen onbekende malware wordt ingezet samen met een rootkit in de kernelmodus en wordt op het geschonden apparaat geïnstalleerd met behulp van shell-commando's, vergelijkbaar met andere Linux-rootkits die worden gebruikt door de Chinese cyberspionagegroep Winnti. De door de infosec-onderzoekers geïdentificeerde Melofee-samples zijn waarschijnlijk gemaakt in april/mei 2022 en delen een gemeenschappelijke codebasis.

De verschillende versies van de malware vertonen echter kleine verschillen in communicatieprotocol, codering en functionaliteit. De nieuwste versie van de malware bevat een rootkit in de kernelmodus, een aangepaste versie van een open-sourceproject genaamd Reptile. De Melofee-rootkit heeft beperkte functionaliteit, zoals het installeren van een haak om zichzelf te verbergen en een andere om de communicatie met de userland-component te verzekeren, maar dat maakt het een onopvallende bedreiging. Details over Melofee zijn vrijgegeven door een Frans cyberbeveiligingsbedrijf.

De infectieketen van de Melofee Rootkit

De infectieketen van deze malware omvat verschillende stappen, die beginnen met het uitvoeren van shell-commando's om zowel een installatieprogramma als een aangepast binair bestand op te halen van een door een aanvaller gecontroleerde server. Het installatieprogramma, dat is geschreven in C++, is verantwoordelijk voor het implementeren van zowel de rootkit als de serverimplantatie en zorgt ervoor dat beide tijdens het opstarten worden uitgevoerd. Eenmaal geïnstalleerd, werken de rootkit en het implantaat samen om verborgen te blijven voor detectie en blijven bestaan bij opnieuw opstarten.

Het implantaat zelf heeft verschillende mogelijkheden, waaronder de mogelijkheid om het proces te beëindigen en persistentie te verwijderen, zichzelf bij te werken en opnieuw op te starten, een nieuwe socket voor interactie te creëren, systeeminformatie te verzamelen, bestanden te lezen en te schrijven, een shell te starten en mappen te beheren. Dit maakt het een krachtig hulpmiddel voor aanvallers om toegang te krijgen tot en controle te krijgen over het systeem van een slachtoffer.

Om te communiceren met de Command-and-Control (C&C)-server, ondersteunt de Melofee-malware TCP-communicatie met behulp van een aangepast pakketformaat. Het kan ook een TLS-gecodeerd kanaal gebruiken om gegevens uit te wisselen met de C&C-server, waardoor de communicatie een extra beveiligingslaag krijgt. Bovendien kan de malware gegevens verzenden via het KCP-protocol, waardoor het bereik van mogelijke communicatiemethoden wordt uitgebreid.

Aangenomen wordt dat de Winnti Group al tientallen jaren actief is

Winnti, ook bekend onder verschillende aliassen zoals APT41 , Blackfly, Barium, Bronze Atlas, Double Dragon, Wicked Spider en Wicked Panda, is een beruchte hackgroep waarvan wordt aangenomen dat deze wordt gesponsord door de Chinese overheid. De groep lanceert al zeker sinds 2007 actief cyberspionage en financieel gemotiveerde aanvallen. De Winnti- groep is verantwoordelijk geweest voor verschillende spraakmakende aanvallen op organisaties in verschillende sectoren, waaronder de gezondheidszorg, gaming en technologie.

Onlangs heeft analyse van de Melofee-infrastructuur verbindingen met verschillende andere hackgroepen en hun command-and-control (C&C)-servers aan het licht gebracht. Deze groepen omvatten ShadowPad , Winnti en HelloBot, die in het verleden allemaal verantwoordelijk zijn geweest voor verschillende aanvallen. Daarnaast is de Melofee-infrastructuur ook gekoppeld aan verschillende domeinen die dat wel hebben gedaan