ਮੇਲੋਫੀ ਮਾਲਵੇਅਰ
ਲੀਨਕਸ ਸਰਵਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਮੈਲੋਫੀ ਡਬ ਕੀਤੇ ਮਾਲਵੇਅਰ ਦੀ ਖੋਜ ਕੀਤੀ ਗਈ ਹੈ। ਇਹ ਪਹਿਲਾਂ ਤੋਂ ਅਣਜਾਣ ਮਾਲਵੇਅਰ ਕਰਨਲ ਮੋਡ ਰੂਟਕਿਟ ਦੇ ਨਾਲ ਤੈਨਾਤ ਕੀਤਾ ਗਿਆ ਹੈ ਅਤੇ ਸ਼ੈੱਲ ਕਮਾਂਡਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਉਲੰਘਣਾ ਕੀਤੀ ਡਿਵਾਈਸ 'ਤੇ ਸਥਾਪਿਤ ਕੀਤਾ ਗਿਆ ਹੈ, ਚੀਨੀ ਸਾਈਬਰ ਸਪਾਈਨੇਜ ਗਰੁੱਪ ਵਿਨਟੀ ਦੁਆਰਾ ਨਿਯੁਕਤ ਕੀਤੇ ਗਏ ਹੋਰ ਲੀਨਕਸ ਰੂਟਕਿਟਾਂ ਦੇ ਸਮਾਨ ਹੈ। infosec ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਪਛਾਣੇ ਗਏ ਮੇਲੋਫੀ ਨਮੂਨੇ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਅਪ੍ਰੈਲ/ਮਈ 2022 ਵਿੱਚ ਬਣਾਏ ਗਏ ਸਨ ਅਤੇ ਇੱਕ ਸਾਂਝਾ ਕੋਡ ਅਧਾਰ ਸਾਂਝਾ ਕੀਤਾ ਗਿਆ ਸੀ।
ਹਾਲਾਂਕਿ, ਮਾਲਵੇਅਰ ਦੇ ਵੱਖ-ਵੱਖ ਸੰਸਕਰਣ ਸੰਚਾਰ ਪ੍ਰੋਟੋਕੋਲ, ਏਨਕ੍ਰਿਪਸ਼ਨ, ਅਤੇ ਕਾਰਜਸ਼ੀਲਤਾ ਵਿੱਚ ਮਾਮੂਲੀ ਅੰਤਰ ਦਿਖਾਉਂਦੇ ਹਨ। ਮਾਲਵੇਅਰ ਦੇ ਨਵੀਨਤਮ ਸੰਸਕਰਣ ਵਿੱਚ ਇੱਕ ਕਰਨਲ ਮੋਡ ਰੂਟਕਿਟ ਸ਼ਾਮਲ ਹੈ, ਜੋ ਕਿ ਰੀਪਟਾਈਲ ਨਾਮਕ ਇੱਕ ਓਪਨ-ਸੋਰਸ ਪ੍ਰੋਜੈਕਟ ਦਾ ਇੱਕ ਸੋਧਿਆ ਸੰਸਕਰਣ ਹੈ। ਮੇਲੋਫੀ ਰੂਟਕਿਟ ਵਿੱਚ ਸੀਮਤ ਕਾਰਜਕੁਸ਼ਲਤਾ ਹੈ, ਜਿਵੇਂ ਕਿ ਆਪਣੇ ਆਪ ਨੂੰ ਛੁਪਾਉਣ ਲਈ ਇੱਕ ਹੁੱਕ ਲਗਾਉਣਾ ਅਤੇ ਯੂਜ਼ਰਲੈਂਡ ਕੰਪੋਨੈਂਟ ਨਾਲ ਸੰਚਾਰ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਇੱਕ ਹੋਰ, ਪਰ ਇਹ ਇਸਨੂੰ ਇੱਕ ਚੁਸਤ ਖ਼ਤਰਾ ਬਣਾਉਂਦਾ ਹੈ। ਮੇਲੋਫੀ ਬਾਰੇ ਵੇਰਵੇ ਇੱਕ ਫਰਾਂਸੀਸੀ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਫਰਮ ਦੁਆਰਾ ਜਾਰੀ ਕੀਤੇ ਗਏ ਸਨ।
ਮੇਲੋਫੀ ਰੂਟਕਿਟ ਦੀ ਲਾਗ ਚੇਨ
ਇਸ ਮਾਲਵੇਅਰ ਦੀ ਸੰਕਰਮਣ ਲੜੀ ਵਿੱਚ ਕਈ ਕਦਮ ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ, ਜੋ ਇੱਕ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਸਰਵਰ ਤੋਂ ਇੱਕ ਇੰਸਟਾਲਰ ਦੇ ਨਾਲ-ਨਾਲ ਇੱਕ ਕਸਟਮ ਬਾਈਨਰੀ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਸ਼ੈੱਲ ਕਮਾਂਡਾਂ ਦੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੇ ਹਨ। ਇੰਸਟਾਲਰ, ਜੋ ਕਿ C++ ਵਿੱਚ ਲਿਖਿਆ ਗਿਆ ਹੈ, ਰੂਟਕਿੱਟ ਅਤੇ ਸਰਵਰ ਇਮਪਲਾਂਟ ਦੋਵਾਂ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੈ, ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਦੋਵੇਂ ਬੂਟ ਸਮੇਂ 'ਤੇ ਲਾਗੂ ਕੀਤੇ ਗਏ ਹਨ। ਇੱਕ ਵਾਰ ਸਥਾਪਿਤ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਰੂਟਕਿਟ ਅਤੇ ਇਮਪਲਾਂਟ ਖੋਜ ਤੋਂ ਲੁਕੇ ਰਹਿਣ ਅਤੇ ਰੀਬੂਟ ਦੇ ਦੌਰਾਨ ਬਣੇ ਰਹਿਣ ਲਈ ਇਕੱਠੇ ਕੰਮ ਕਰਦੇ ਹਨ।
ਇਮਪਲਾਂਟ ਵਿੱਚ ਆਪਣੇ ਆਪ ਵਿੱਚ ਕਈ ਸਮਰੱਥਾਵਾਂ ਹਨ, ਜਿਸ ਵਿੱਚ ਇਸਦੀ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਖਤਮ ਕਰਨ ਅਤੇ ਨਿਰੰਤਰਤਾ ਨੂੰ ਹਟਾਉਣ, ਆਪਣੇ ਆਪ ਨੂੰ ਅਪਡੇਟ ਕਰਨ ਅਤੇ ਮੁੜ ਚਾਲੂ ਕਰਨ, ਇੰਟਰੈਕਸ਼ਨ ਲਈ ਇੱਕ ਨਵਾਂ ਸਾਕਟ ਬਣਾਉਣ, ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ, ਫਾਈਲਾਂ ਨੂੰ ਪੜ੍ਹਨਾ ਅਤੇ ਲਿਖਣਾ, ਸ਼ੈੱਲ ਲਾਂਚ ਕਰਨ ਅਤੇ ਡਾਇਰੈਕਟਰੀਆਂ ਦਾ ਪ੍ਰਬੰਧਨ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਸ਼ਾਮਲ ਹੈ। ਇਹ ਹਮਲਾਵਰਾਂ ਲਈ ਪੀੜਤ ਦੇ ਸਿਸਟਮ ਤੱਕ ਪਹੁੰਚ ਅਤੇ ਨਿਯੰਤਰਣ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਵਰਤਣ ਲਈ ਇੱਕ ਸ਼ਕਤੀਸ਼ਾਲੀ ਸੰਦ ਬਣਾਉਂਦਾ ਹੈ।
ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C&C) ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਕਰਨ ਲਈ, Melofee ਮਾਲਵੇਅਰ ਇੱਕ ਕਸਟਮ ਪੈਕੇਟ ਫਾਰਮੈਟ ਦੀ ਵਰਤੋਂ ਕਰਕੇ TCP ਸੰਚਾਰ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ। ਇਹ ਸੰਚਾਰ ਨੂੰ ਸੁਰੱਖਿਆ ਦੀ ਇੱਕ ਵਾਧੂ ਪਰਤ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹੋਏ, C&C ਸਰਵਰ ਨਾਲ ਡੇਟਾ ਦਾ ਆਦਾਨ-ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਇੱਕ TLS ਐਨਕ੍ਰਿਪਟਡ ਚੈਨਲ ਦੀ ਵਰਤੋਂ ਵੀ ਕਰ ਸਕਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਮਾਲਵੇਅਰ KCP ਪ੍ਰੋਟੋਕੋਲ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਡਾਟਾ ਭੇਜ ਸਕਦਾ ਹੈ, ਸੰਭਾਵੀ ਸੰਚਾਰ ਤਰੀਕਿਆਂ ਦੀ ਰੇਂਜ ਦਾ ਵਿਸਤਾਰ ਕਰਦਾ ਹੈ।
ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ ਕਿ ਵਿਨਟੀ ਗਰੁੱਪ ਦਹਾਕਿਆਂ ਤੋਂ ਸਰਗਰਮ ਹੈ
ਵਿਨਟੀ, ਜਿਸ ਨੂੰ ਕਈ ਉਪਨਾਮਾਂ ਜਿਵੇਂ ਕਿ APT41 , ਬਲੈਕਫਲਾਈ, ਬੇਰੀਅਮ, ਕਾਂਸੀ ਐਟਲਸ, ਡਬਲ ਡਰੈਗਨ, ਵਿੱਕਡ ਸਪਾਈਡਰ ਅਤੇ ਵਿੱਕਡ ਪਾਂਡਾ ਦੁਆਰਾ ਵੀ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਇੱਕ ਬਦਨਾਮ ਹੈਕਿੰਗ ਸਮੂਹ ਹੈ ਜਿਸ ਨੂੰ ਚੀਨੀ ਸਰਕਾਰ ਦੁਆਰਾ ਸਪਾਂਸਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਇਹ ਸਮੂਹ ਘੱਟੋ-ਘੱਟ 2007 ਤੋਂ ਸਰਗਰਮੀ ਨਾਲ ਸਾਈਬਰ ਜਾਸੂਸੀ ਅਤੇ ਵਿੱਤੀ ਤੌਰ 'ਤੇ ਪ੍ਰੇਰਿਤ ਹਮਲਿਆਂ ਦੀ ਸ਼ੁਰੂਆਤ ਕਰ ਰਿਹਾ ਹੈ। ਵਿਨਟੀ ਗਰੁੱਪ ਸਿਹਤ ਸੰਭਾਲ, ਗੇਮਿੰਗ ਅਤੇ ਤਕਨਾਲੋਜੀ ਸਮੇਤ ਵੱਖ-ਵੱਖ ਖੇਤਰਾਂ ਵਿੱਚ ਸੰਗਠਨਾਂ ਦੇ ਵਿਰੁੱਧ ਕਈ ਉੱਚ-ਪ੍ਰੋਫਾਈਲ ਹਮਲਿਆਂ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੈ।
ਹਾਲ ਹੀ ਵਿੱਚ, ਮੇਲੋਫੀ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਵਿਸ਼ਲੇਸ਼ਣ ਨੇ ਕਈ ਹੋਰ ਹੈਕਿੰਗ ਸਮੂਹਾਂ ਅਤੇ ਉਹਨਾਂ ਦੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C&C) ਸਰਵਰਾਂ ਨਾਲ ਸਬੰਧਾਂ ਦਾ ਖੁਲਾਸਾ ਕੀਤਾ ਹੈ। ਇਹਨਾਂ ਸਮੂਹਾਂ ਵਿੱਚ ਸ਼ੈਡੋਪੈਡ , ਵਿਨਟੀ, ਅਤੇ ਹੈਲੋਬੋਟ ਸ਼ਾਮਲ ਹਨ, ਇਹ ਸਾਰੇ ਪਿਛਲੇ ਸਮੇਂ ਵਿੱਚ ਵੱਖ-ਵੱਖ ਹਮਲਿਆਂ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਰਹੇ ਹਨ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਮੇਲੋਫੀ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨੂੰ ਕਈ ਡੋਮੇਨਾਂ ਨਾਲ ਵੀ ਜੋੜਿਆ ਗਿਆ ਹੈ ਜਿਨ੍ਹਾਂ ਕੋਲ ਹੈ
