Melofee Malware

Bol objavený malvér s názvom Melofee, ktorý sa zameriava na servery Linux. Tento predtým neznámy malvér je nasadený spolu s rootkitom v režime jadra a je nainštalovaný na napadnutom zariadení pomocou príkazov shellu, podobne ako iné linuxové rootkity používané čínskou kyberšpionážnou skupinou Winnti. Vzorky Melofee identifikované výskumníkmi infosec boli pravdepodobne vytvorené v apríli/máji 2022 a zdieľajú spoločnú kódovú základňu.

Rôzne verzie malvéru však vykazujú menšie rozdiely v komunikačnom protokole, šifrovaní a funkčnosti. Najnovšia verzia malvéru obsahuje rootkit režimu jadra, ktorý je upravenou verziou open-source projektu s názvom Reptile. Rootkit Melofee má obmedzenú funkčnosť, ako je inštalácia háku, ktorý sa má skryť, a ďalšieho háku na zabezpečenie komunikácie s komponentom userland, ale to z neho robí tajnejšiu hrozbu. Podrobnosti o Melofee zverejnila francúzska firma zaoberajúca sa kybernetickou bezpečnosťou.

Infekčný reťazec Melofee Rootkit

Infekčný reťazec tohto malvéru zahŕňa niekoľko krokov, ktoré začínajú vykonaním príkazov shellu na získanie inštalačného programu, ako aj vlastného binárneho súboru zo servera kontrolovaného útočníkom. Inštalačný program, ktorý je napísaný v C++, je zodpovedný za nasadenie rootkitu aj serverového implantátu, pričom zaisťuje, že obe sú spustené v čase zavádzania. Po nainštalovaní rootkit a implantát spolupracujú, aby zostali skryté pred detekciou a pretrvávali aj po reštarte.

Samotný implantát má niekoľko možností, vrátane schopnosti ukončiť svoj proces a odstrániť pretrvávanie, aktualizovať sa a reštartovať, vytvoriť nový soket pre interakciu, zbierať systémové informácie, čítať a zapisovať súbory, spustiť shell a spravovať adresáre. To z neho robí silný nástroj, ktorý môžu útočníci použiť na získanie prístupu k systému obete a kontrolu nad ním.

Na komunikáciu so serverom Command-and-Control (C&C) podporuje malvér Melofee komunikáciu TCP pomocou vlastného formátu paketov. Môže tiež použiť šifrovaný kanál TLS na výmenu údajov so serverom C&C, čím poskytuje ďalšiu úroveň zabezpečenia komunikácie. Okrem toho môže malvér odosielať údaje pomocou protokolu KCP, čím sa rozširuje rozsah možných spôsobov komunikácie.

Predpokladá sa, že skupina Winnti je aktívna už desaťročia

Winnti, známy aj pod niekoľkými aliasmi ako APT41 , Blackfly, Barium, Bronze Atlas, Double Dragon, Wicked Spider a Wicked Panda, je notoricky známa hackerská skupina, o ktorej sa predpokladá, že ju sponzoruje čínska vláda. Skupina aktívne spúšťa kybernetickú špionáž a finančne motivované útoky minimálne od roku 2007. Skupina Winnti je zodpovedná za niekoľko významných útokov proti organizáciám v rôznych sektoroch vrátane zdravotníctva, hier a technológií.

Nedávno analýza infraštruktúry Melofee odhalila spojenie s niekoľkými ďalšími hackerskými skupinami a ich servermi na riadenie a riadenie (C&C). Medzi tieto skupiny patria ShadowPad , Winnti a HelloBot, z ktorých všetky boli v minulosti zodpovedné za rôzne útoky. Infraštruktúra Melofee bola navyše prepojená s niekoľkými doménami