Вредоносное ПО Melofee

Было обнаружено, что вредоносное ПО Melofee нацелено на серверы Linux. Эта ранее неизвестная вредоносная программа развертывается вместе с руткитом режима ядра и устанавливается на взломанное устройство с помощью команд оболочки, подобно другим руткитам Linux, используемым китайской группой кибершпионажа Winnti. Образцы Melofee, обнаруженные исследователями информационной безопасности, вероятно, были созданы в апреле/мае 2022 года и имеют общую кодовую базу.

Однако разные версии вредоносного ПО имеют незначительные различия в протоколе связи, шифровании и функциональности. Последняя версия вредоносной программы содержит руткит режима ядра, который представляет собой модифицированную версию проекта с открытым исходным кодом под названием Reptile. Руткит Melofee имеет ограниченную функциональность, такую как установка хука, чтобы скрыть себя, и другого, чтобы обеспечить связь с пользовательским компонентом, но это делает его более незаметной угрозой. Подробности о Melofee были опубликованы французской фирмой по кибербезопасности.

Цепочка заражения руткитом Melofee

Цепочка заражения этим вредоносным ПО включает несколько этапов, которые начинаются с выполнения команд оболочки для получения установщика, а также пользовательского двоичного файла с сервера, контролируемого злоумышленниками. Установщик, написанный на C++, отвечает за развертывание как руткита, так и серверного имплантата, гарантируя, что оба они выполняются во время загрузки. После установки руткит и имплантат работают вместе, чтобы оставаться скрытыми от обнаружения и сохраняться после перезагрузки.

Сам имплантат имеет несколько возможностей, в том числе возможность завершать свой процесс и удалять постоянство, обновлять себя и перезапускать, создавать новый сокет для взаимодействия, собирать системную информацию, читать и записывать файлы, запускать оболочку и управлять каталогами. Это делает его мощным инструментом, который злоумышленники могут использовать для получения доступа и контроля над системой жертвы.

Для связи с сервером управления и контроля (C&C) вредоносная программа Melofee поддерживает TCP-связь с использованием специального формата пакетов. Он также может использовать зашифрованный канал TLS для обмена данными с C&C-сервером, обеспечивая дополнительный уровень безопасности связи. Кроме того, вредоносное ПО может отправлять данные по протоколу KCP, что расширяет спектр возможных способов связи.

Считается, что Winnti Group была активна в течение десятилетий

Winnti, также известная под несколькими псевдонимами, такими как APT41 , Blackfly, Barium, Bronze Atlas, Double Dragon, Wicked Spider и Wicked Panda, является печально известной хакерской группой, которая, как считается, спонсируется китайским правительством. Группа активно занимается кибершпионажем и финансово мотивированными атаками как минимум с 2007 года. Группа Winnti несет ответственность за несколько громких атак на организации в различных секторах, включая здравоохранение, игры и технологии.

Недавно анализ инфраструктуры Melofee выявил связи с несколькими другими хакерскими группами и их серверами управления и контроля (C&C). Эти группы включают ShadowPad , Winnti и HelloBot, каждая из которых в прошлом была ответственна за различные атаки. Кроме того, инфраструктура Melofee также связана с несколькими доменами, которые