Melofee Malware

Malware i quajtur Melofee është zbuluar për të synuar serverët Linux. Ky malware i panjohur më parë vendoset i shoqëruar nga një rootkit i modalitetit kernel dhe instalohet në pajisjen e shkelur duke përdorur komandat shell, të ngjashme me rootkitet e tjera Linux të përdorura nga grupi kinez i spiunazhit kibernetik Winnti. Mostrat e Melofee të identifikuara nga studiuesit e infosec ka të ngjarë të jenë krijuar në prill/maj 2022 dhe kanë një bazë të përbashkët kodi.

Megjithatë, versionet e ndryshme të malware tregojnë dallime të vogla në protokollin e komunikimit, enkriptimin dhe funksionalitetin. Versioni i fundit i malware përmban një rootkit të modalitetit kernel, i cili është një version i modifikuar i një projekti me burim të hapur të quajtur Reptile. Rootkit Melofee ka funksionalitet të kufizuar, si instalimi i një grepi për t'u fshehur dhe një tjetër për të siguruar komunikimin me komponentin e tokës së përdoruesit, por kjo e bën atë një kërcënim më të fshehtë. Detajet rreth Melofee u publikuan nga një firmë franceze e sigurisë kibernetike.

Zinxhiri i Infeksionit të Melofee Rootkit

Zinxhiri i infeksionit të këtij malware përfshin disa hapa, të cilët fillojnë me ekzekutimin e komandave të guaskës për të marrë një instalues si dhe një binar të personalizuar nga një server i kontrolluar nga sulmuesi. Instaluesi, i cili është shkruar në C++, është përgjegjës për vendosjen e rootkit dhe implantit të serverit, duke siguruar që të dyja të ekzekutohen në kohën e nisjes. Pasi të instalohet, rootkit dhe implanti punojnë së bashku për të mbetur të fshehur nga zbulimi dhe të vazhdojnë gjatë rindezjes.

Vetë implanti ka disa aftësi, duke përfshirë aftësinë për të përfunduar procesin e tij dhe për të hequr qëndrueshmërinë, për të përditësuar veten dhe për të rifilluar, për të krijuar një prizë të re për ndërveprim, për të mbledhur informacione të sistemit, për të lexuar dhe shkruar skedarë, për të nisur një guaskë dhe për të menaxhuar drejtoritë. Kjo e bën atë një mjet të fuqishëm që sulmuesit ta përdorin për të fituar akses dhe kontroll mbi sistemin e viktimës.

Për të komunikuar me serverin Command-and-Control (C&C), malware Melofee mbështet komunikimin TCP duke përdorur një format të personalizuar pakete. Mund të përdorë gjithashtu një kanal të koduar TLS për të shkëmbyer të dhëna me serverin C&C, duke siguruar një shtresë shtesë sigurie për komunikimin. Për më tepër, malware mund të dërgojë të dhëna duke përdorur protokollin KCP, duke zgjeruar gamën e metodave të mundshme të komunikimit.

Grupi Winnti besohet se ka qenë aktiv për dekada

Winnti, i njohur gjithashtu nga disa pseudonime si APT41 , Blackfly, Barium, Bronze Atlas, Double Dragon, Wicked Spider dhe Wicked Panda, është një grup famëkeq hakerimi që besohet se sponsorizohet nga qeveria kineze. Grupi ka nisur në mënyrë aktive spiunazh kibernetik dhe sulme të motivuara financiarisht që të paktën që nga viti 2007. Grupi Winnti ka qenë përgjegjës për disa sulme të profilit të lartë kundër organizatave në sektorë të ndryshëm, duke përfshirë kujdesin shëndetësor, lojërat dhe teknologjinë.

Kohët e fundit, analiza e infrastrukturës Melofee ka zbuluar lidhje me disa grupe të tjera hakerimi dhe serverët e tyre të komandës dhe kontrollit (C&C). Këto grupe përfshijnë ShadowPad , Winnti dhe HelloBot, të cilët të gjithë kanë qenë përgjegjës për sulme të ndryshme në të kaluarën. Për më tepër, infrastruktura Melofee është lidhur gjithashtu me disa domene që kanë