Мелофее Малваре

Откривено је да малвер под називом Мелофее циља Линук сервере. Овај раније непознати малвер се примењује у пратњи руткита режима језгра и инсталира се на оштећени уређај помоћу команди љуске, слично другим Линук руткит-овима које користи кинеска група за сајбер шпијунажу Виннти. Мелофее узорци које су идентификовали истраживачи инфосец-а вероватно су креирани у априлу/мају 2022. и деле заједничку базу кода.

Међутим, различите верзије малвера показују мање разлике у комуникационом протоколу, шифровању и функционалности. Најновија верзија малвера садржи рооткит режима језгра, који је модификована верзија пројекта отвореног кода под називом Рептиле. Мелофее рооткит има ограничену функционалност, као што је инсталирање куке да се сакрије и још једног да би се обезбедила комуникација са компонентом корисничког земљишта, али то га чини прикривенијом претњом. Детаље о Мелофееу објавила је француска фирма за сајбер безбедност.

Ланац инфекције Мелофее руткита

Ланац заразе овог малвера укључује неколико корака, који почињу извршавањем команди љуске за преузимање инсталатера као и прилагођеног бинарног фајла са сервера који контролише нападач. Инсталациони програм, који је написан на Ц++, одговоран је за примену и рооткита и серверског импланта, обезбеђујући да се оба извршавају у време покретања. Једном инсталирани, рооткит и имплант раде заједно како би остали скривени од откривања и опстали током поновног покретања.

Сам имплантат има неколико могућности, укључујући могућност да прекине свој процес и уклони упорност, да се ажурира и поново покрене, да креира нову утичницу за интеракцију, прикупи системске информације, чита и уписује датотеке, покреће љуску и управља директоријумима. То га чини моћним алатом који нападачи користе како би добили приступ систему жртве и контролу над њим.

Да би комуницирао са сервером за команду и контролу (Ц&Ц), Мелофее малвер подржава ТЦП комуникацију користећи прилагођени формат пакета. Такође може да користи ТЛС шифровани канал за размену података са Ц&Ц сервером, пружајући додатни ниво безбедности за комуникацију. Поред тога, малвер може да шаље податке користећи КЦП протокол, проширујући опсег могућих метода комуникације.

Верује се да је Виннти група активна деценијама

Виннти, такође познат по неколико алијаса као што су АПТ41 , Блацкфли, Бариум, Бронзе Атлас, Доубле Драгон, Вицкед Спидер и Вицкед Панда, је озлоглашена хакерска група за коју се верује да је спонзорисана од стране кинеске владе. Група је активно покренула сајбер шпијунажу и финансијски мотивисане нападе од најмање 2007. Група Виннти је била одговорна за неколико напада високог профила на организације у различитим секторима, укључујући здравство, игре и технологију.

Недавно је анализа Мелофее инфраструктуре открила везе са неколико других хакерских група и њиховим серверима за команду и контролу (Ц&Ц). Ове групе укључују СхадовПад , Виннти и ХеллоБот, од којих су све биле одговорне за различите нападе у прошлости. Поред тога, Мелофее инфраструктура је такође повезана са неколико домена који имају