Melofee skadlig programvara

Skadlig programvara kallad Melofee har upptäckts rikta sig mot Linux-servrar. Denna tidigare okända skadliga programvara distribueras tillsammans med ett rootkit i kärnläge och installeras på den brutna enheten med hjälp av skalkommandon, liknande andra Linux-rootkits som används av den kinesiska cyberspionagegruppen Winnti. Melofee-proverna som identifierats av infosec-forskarna skapades sannolikt i april/maj 2022 och delar en gemensam kodbas.

De olika versionerna av skadlig programvara visar dock mindre skillnader i kommunikationsprotokoll, kryptering och funktionalitet. Den senaste versionen av skadlig programvara innehåller ett rootkit i kärnläge, som är en modifierad version av ett projekt med öppen källkod som heter Reptile. Melofee rootkit har begränsad funktionalitet, som att installera en krok för att dölja sig själv och en annan för att säkerställa kommunikation med användarlandskomponenten, men det gör det till ett smygande hot. Detaljer om Melofee släpptes av ett franskt cybersäkerhetsföretag.

Infektionskedjan i Melofee Rootkit

Infektionskedjan för denna skadliga programvara innefattar flera steg, som börjar med exekvering av skalkommandon för att hämta ett installationsprogram samt en anpassad binär från en angriparkontrollerad server. Installationsprogrammet, som är skrivet i C++, ansvarar för att distribuera både rootkit och serverimplantat, vilket säkerställer att båda exekveras vid uppstart. När rootkitet och implantatet har installerats arbetar de tillsammans för att förbli dolda från upptäckt och kvarstår under omstarter.

Själva implantatet har flera funktioner, inklusive förmågan att avsluta sin process och ta bort persistens, uppdatera sig själv och starta om, skapa en ny socket för interaktion, samla in systeminformation, läsa och skriva filer, starta ett skal och hantera kataloger. Detta gör det till ett kraftfullt verktyg för angripare att använda för att få tillgång till och kontroll över ett offers system.

För att kommunicera med Command-and-Control-servern (C&C) stöder Melofee malware TCP-kommunikation med ett anpassat paketformat. Den kan också använda en TLS-krypterad kanal för att utbyta data med C&C-servern, vilket ger ett extra lager av säkerhet för kommunikationen. Dessutom kan skadlig programvara skicka data med hjälp av KCP-protokollet, vilket utökar utbudet av möjliga kommunikationsmetoder.

Winnti-gruppen tros ha varit aktiv i decennier

Winnti, även känd under flera alias som APT41 , Blackfly, Barium, Bronze Atlas, Double Dragon, Wicked Spider och Wicked Panda, är en ökänd hackargrupp som tros vara sponsrad av den kinesiska regeringen. Gruppen har aktivt lanserat cyberspionage och ekonomiskt motiverade attacker sedan åtminstone 2007. Winnti -gruppen har varit ansvarig för flera högprofilerade attacker mot organisationer inom olika sektorer, inklusive sjukvård, spel och teknik.

Nyligen har analys av Melofee-infrastrukturen avslöjat kopplingar till flera andra hackningsgrupper och deras kommando-och-kontroll-servrar (C&C). Dessa grupper inkluderar ShadowPad , Winnti och HelloBot, som alla har varit ansvariga för olika attacker tidigare. Dessutom har Melofee-infrastrukturen också kopplats till flera domäner som har