Zlonamerna programska oprema Melofee

Ugotovljeno je bilo, da zlonamerna programska oprema, imenovana Melofee, cilja na strežnike Linux. Ta prej neznana zlonamerna programska oprema je nameščena skupaj z rootkitom v načinu jedra in je nameščena na napravo, v kateri je vdrla napaka, z ukazi lupine, podobno kot drugi rootkiti za Linux, ki jih uporablja kitajska kibernetska vohunska skupina Winnti. Vzorci Melofee, ki so jih identificirali raziskovalci infosec, so bili verjetno ustvarjeni aprila/maja 2022 in imajo skupno kodno osnovo.

Vendar pa različne različice zlonamerne programske opreme kažejo manjše razlike v komunikacijskem protokolu, šifriranju in funkcionalnosti. Najnovejša različica zlonamerne programske opreme vsebuje rootkit v načinu jedra, ki je spremenjena različica odprtokodnega projekta, imenovanega Reptile. Rootkit Melofee ima omejeno funkcionalnost, na primer namestitev kljuke, da se skrije, in druge, da zagotovi komunikacijo s komponento uporabniškega območja, vendar je zaradi tega bolj prikrita grožnja. Podrobnosti o Melofeeju je objavilo francosko podjetje za kibernetsko varnost.

Veriga okužbe korenskega kompleta Melofee

Veriga okužbe te zlonamerne programske opreme vključuje več korakov, ki se začnejo z izvajanjem lupinskih ukazov za pridobivanje namestitvenega programa in binarne datoteke po meri s strežnika, ki ga nadzoruje napadalec. Namestitveni program, ki je napisan v C++, je odgovoren za uvajanje rootkita in strežniškega vsadka ter zagotavlja, da se oba izvedeta ob zagonu. Ko sta nameščena, rootkit in vsadek delujeta skupaj, da ostaneta skrita pred odkrivanjem in vztrajata med ponovnimi zagoni.

Sam vsadek ima več zmožnosti, vključno z možnostjo prekinitve svojega procesa in odstranitve vztrajnosti, samoposodobitve in ponovnega zagona, ustvarjanja nove vtičnice za interakcijo, zbiranja sistemskih informacij, branja in pisanja datotek, zagona lupine in upravljanja imenikov. Zaradi tega je zmogljivo orodje, ki ga lahko napadalci uporabijo za dostop do žrtvinega sistema in nadzor nad njim.

Za komunikacijo s strežnikom Command-and-Control (C&C) zlonamerna programska oprema Melofee podpira komunikacijo TCP z uporabo paketne oblike po meri. Za izmenjavo podatkov s strežnikom C&C lahko uporablja tudi šifriran kanal TLS, kar komunikaciji zagotavlja dodatno raven varnosti. Poleg tega lahko zlonamerna programska oprema pošilja podatke s protokolom KCP, s čimer razširi obseg možnih komunikacijskih metod.

Skupina Winnti naj bi bila aktivna že desetletja

Winnti, znan tudi pod številnimi vzdevki, kot so APT41 , Blackfly, Barium, Bronze Atlas, Double Dragon, Wicked Spider in Wicked Panda, je razvpita hekerska skupina, za katero verjamejo, da jo sponzorira kitajska vlada. Skupina aktivno izvaja kibernetsko vohunjenje in finančno motivirane napade vsaj od leta 2007. Skupina Winnti je odgovorna za več odmevnih napadov na organizacije v različnih sektorjih, vključno z zdravstvenim varstvom, igrami in tehnologijo.

Pred kratkim je analiza infrastrukture Melofee razkrila povezave z več drugimi hekerskimi skupinami in njihovimi strežniki za ukaze in nadzor (C&C). Te skupine vključujejo ShadowPad , Winnti in HelloBot, ki so bile vse odgovorne za različne napade v preteklosti. Poleg tega je bila infrastruktura Melofee povezana tudi z več domenami, ki imajo