Melofee Malware

O malware apelidado de Melofee foi descoberto para atingir servidores Linux. Esse malware anteriormente desconhecido é implantado acompanhado por um rootkit no modo kernel e é instalado no dispositivo violado usando comandos shell, semelhantes a outros rootkits do Linux empregados pelo grupo chinês de ciberespionagem Winnti. As amostras de Melofee identificadas pelos pesquisadores da infosec provavelmente foram criadas em abril/maio de 2022 e compartilham uma base de código comum.

No entanto, as diferentes versões do malware mostram pequenas diferenças no protocolo de comunicação, criptografia e funcionalidade. A versão mais recente do malware contém um rootkit no modo kernel, que é uma versão modificada de um projeto de código aberto chamado Reptile. O rootkit Melofee tem funcionalidade limitada, como instalar um gancho para se esconder e outro para garantir a comunicação com o componente userland, mas isso o torna uma ameaça mais furtiva. Detalhes sobre Melofee foram divulgados por uma empresa francesa de cibersegurança.

A Cadeia de Infecção do Melofee Rootkit

A cadeia de infecção desse malware envolve várias etapas, que começam com a execução de comandos shell para buscar um instalador, bem como um binário personalizado de um servidor controlado pelo invasor. O instalador, escrito em C++, é responsável por implantar tanto o rootkit quanto a implantação do servidor, garantindo que ambos sejam executados no boot. Depois de instalados, o rootkit e o implante funcionam juntos para permanecer ocultos da detecção e persistir nas reinicializações.

O próprio implante possui vários recursos, incluindo a capacidade de encerrar seu processo e remover a persistência, atualizar-se e reiniciar, criar um novo soquete para interação, coletar informações do sistema, ler e gravar arquivos, iniciar um shell e gerenciar diretórios. Isso o torna uma ferramenta poderosa para os invasores usarem para obter acesso e controle sobre o sistema da vítima.

Para se comunicar com o servidor Command-and-Control (C&C), o malware Melofee oferece suporte à comunicação TCP usando um formato de pacote personalizado. Ele também pode usar um canal criptografado TLS para trocar dados com o servidor C&C, fornecendo uma camada adicional de segurança à comunicação. Além disso, o malware pode enviar dados usando o protocolo KCP, expandindo o leque de possíveis métodos de comunicação.

Acredita-se que o Winnti Group Esteja Ativo há Décadas

Winnti, também conhecido por vários pseudônimos como APT41 , Blackfly, Barium, Bronze Atlas, Double Dragon, Wicked Spider e Wicked Panda, é um notório grupo de hackers que se acredita ser patrocinado pelo governo chinês. O grupo tem lançado ativamente espionagem cibernética e ataques motivados financeiramente desde pelo menos 2007. O grupo Winnti foi responsável por vários ataques de alto nível contra organizações em vários setores, incluindo saúde, jogos e tecnologia.

Recentemente, a análise da infraestrutura do Melofee revelou conexões com vários outros grupos de hackers e seus servidores de comando e controle (C&C). Esses grupos incluem ShadowPad , Winnti e HelloBot, todos responsáveis por vários ataques no passado. Além disso, a infraestrutura do Melofee também foi vinculada a vários domínios que