Melofee Malware

Malware-ul numit Melofee a fost descoperit că vizează serverele Linux. Acest malware necunoscut anterior este implementat însoțit de un rootkit în modul kernel și este instalat pe dispozitivul spart folosind comenzi shell, similar altor rootkit-uri Linux folosite de grupul chinez de spionaj cibernetic Winnti. Eșantioanele Melofee identificate de cercetătorii infosec au fost probabil create în aprilie/mai 2022 și au o bază de cod comună.

Cu toate acestea, diferitele versiuni ale malware-ului prezintă diferențe minore în protocolul de comunicare, criptare și funcționalitate. Cea mai recentă versiune a malware-ului conține un rootkit în modul kernel, care este o versiune modificată a unui proiect open-source numit Reptile. Rootkit-ul Melofee are o funcționalitate limitată, cum ar fi instalarea unui cârlig pentru a se ascunde și a altuia pentru a asigura comunicarea cu componenta userland, dar asta îl face o amenințare mai ascunsă. Detaliile despre Melofee au fost publicate de o firmă franceză de securitate cibernetică.

Lanțul de infecție al Melofee Rootkit

Lanțul de infecție al acestui malware implică mai mulți pași, care încep cu executarea comenzilor shell pentru a prelua un program de instalare, precum și un binar personalizat de pe un server controlat de atacator. Programul de instalare, care este scris în C++, este responsabil pentru implementarea atât a rootkit-ului, cât și a implantului de server, asigurându-se că ambele sunt executate în momentul pornirii. Odată instalate, rootkit-ul și implantul lucrează împreună pentru a rămâne ascunse de detectare și a persista la reporniri.

Implantul în sine are mai multe capacități, inclusiv capacitatea de a-și termina procesul și de a elimina persistența, de a se actualiza și de a reporni, de a crea un nou soclu pentru interacțiune, de a colecta informații despre sistem, de a citi și de a scrie fișiere, de a lansa un shell și de a gestiona directoare. Acest lucru îl face un instrument puternic de utilizat pentru atacatori pentru a obține acces și control asupra sistemului victimei.

Pentru a comunica cu serverul Command-and-Control (C&C), programul malware Melofee acceptă comunicarea TCP folosind un format de pachet personalizat. De asemenea, poate folosi un canal criptat TLS pentru a face schimb de date cu serverul C&C, oferind un nivel suplimentar de securitate comunicației. În plus, malware-ul poate trimite date folosind protocolul KCP, extinzând gama de metode de comunicare posibile.

Se crede că Winnti Group a fost activ de zeci de ani

Winnti, cunoscut și sub mai multe pseudonime, cum ar fi APT41 , Blackfly, Barium, Bronze Atlas, Double Dragon, Wicked Spider și Wicked Panda, este un grup de hacking notoriu despre care se crede că este sponsorizat de guvernul chinez. Grupul a lansat activ spionaj cibernetic și atacuri motivate financiar din cel puțin 2007. Grupul Winnti a fost responsabil pentru mai multe atacuri importante împotriva organizațiilor din diverse sectoare, inclusiv asistența medicală, jocurile și tehnologia.

Recent, analiza infrastructurii Melofee a scos la iveală conexiuni cu alte câteva grupuri de hacking și serverele lor de comandă și control (C&C). Aceste grupuri includ ShadowPad , Winnti și HelloBot, toate fiind responsabile pentru diferite atacuri în trecut. În plus, infrastructura Melofee a fost, de asemenea, legată de mai multe domenii care au