Złośliwe oprogramowanie Melofee

Odkryto, że złośliwe oprogramowanie o nazwie Melofee atakuje serwery z systemem Linux. To nieznane wcześniej złośliwe oprogramowanie jest wdrażane wraz z rootkitem działającym w trybie jądra i instalowane na zaatakowanym urządzeniu za pomocą poleceń powłoki, podobnie jak inne rootkity Linuksa wykorzystywane przez chińską grupę cyberszpiegowską Winnti. Próbki Melofee zidentyfikowane przez badaczy infosec zostały prawdopodobnie utworzone w kwietniu/maju 2022 r. i mają wspólną bazę kodu.

Jednak różne wersje złośliwego oprogramowania wykazują niewielkie różnice w protokole komunikacyjnym, szyfrowaniu i funkcjonalności. Najnowsza wersja tego złośliwego oprogramowania zawiera rootkita w trybie jądra, który jest zmodyfikowaną wersją projektu open-source o nazwie Reptile. Rootkit Melofee ma ograniczoną funkcjonalność, taką jak zainstalowanie haka w celu ukrycia się i innego haka w celu zapewnienia komunikacji z komponentem użytkownika, ale to sprawia, że jest to bardziej ukryte zagrożenie. Szczegóły dotyczące Melofee zostały ujawnione przez francuską firmę zajmującą się cyberbezpieczeństwem.

Łańcuch infekcji rootkita Melofee

Łańcuch infekcji tego złośliwego oprogramowania obejmuje kilka etapów, które rozpoczynają się od wykonania poleceń powłoki w celu pobrania instalatora oraz niestandardowego pliku binarnego z serwera kontrolowanego przez osobę atakującą. Instalator napisany w języku C++ jest odpowiedzialny za wdrożenie zarówno rootkita, jak i implantu serwera, zapewniając, że oba zostaną uruchomione podczas uruchamiania. Po zainstalowaniu rootkit i implant współpracują ze sobą, pozostając w ukryciu przed wykryciem i utrzymując się po ponownym uruchomieniu.

Sam implant ma kilka możliwości, w tym możliwość zakończenia procesu i usunięcia uporczywości, aktualizacji i ponownego uruchomienia, tworzenia nowego gniazda do interakcji, zbierania informacji o systemie, odczytu i zapisu plików, uruchamiania powłoki i zarządzania katalogami. To sprawia, że jest to potężne narzędzie dla atakujących w celu uzyskania dostępu do systemu ofiary i kontroli nad nim.

Aby komunikować się z serwerem Command-and-Control (C&C), złośliwe oprogramowanie Melofee obsługuje komunikację TCP przy użyciu niestandardowego formatu pakietów. Może również wykorzystywać szyfrowany kanał TLS do wymiany danych z serwerem C&C, zapewniając dodatkową warstwę bezpieczeństwa komunikacji. Dodatkowo szkodliwe oprogramowanie może przesyłać dane za pomocą protokołu KCP, rozszerzając zakres możliwych metod komunikacji.

Uważa się, że Grupa Winnti działa od dziesięcioleci

Winnti, znany również pod kilkoma aliasami, takimi jak APT41 , Blackfly, Barium, Bronze Atlas, Double Dragon, Wicked Spider i Wicked Panda, jest znaną grupą hakerską, która prawdopodobnie jest sponsorowana przez chiński rząd. Grupa aktywnie przeprowadza cyberszpiegostwo i ataki motywowane finansowo od co najmniej 2007 roku. Grupa Winnti była odpowiedzialna za kilka głośnych ataków na organizacje z różnych sektorów, w tym opieki zdrowotnej, gier i technologii.

Niedawno analiza infrastruktury Melofee ujawniła powiązania z kilkoma innymi grupami hakerskimi i ich serwerami dowodzenia i kontroli (C&C). Grupy te obejmują ShadowPad , Winnti i HelloBot, z których wszystkie były odpowiedzialne za różne ataki w przeszłości. Ponadto infrastruktura Melofee została również powiązana z kilkoma domenami