మెలోఫీ మాల్వేర్

Melofee అని పిలువబడే మాల్వేర్ Linux సర్వర్‌లను లక్ష్యంగా చేసుకోవడానికి కనుగొనబడింది. ఇంతకు ముందు తెలియని ఈ మాల్వేర్ కెర్నల్ మోడ్ రూట్‌కిట్‌తో పాటుగా అమలు చేయబడుతుంది మరియు చైనీస్ సైబర్‌స్పియోనేజ్ గ్రూప్ Winnti ద్వారా ఉపయోగించే ఇతర Linux రూట్‌కిట్‌ల మాదిరిగానే షెల్ ఆదేశాలను ఉపయోగించి ఉల్లంఘించిన పరికరంలో ఇన్‌స్టాల్ చేయబడింది. ఇన్ఫోసెక్ పరిశోధకులు గుర్తించిన మెలోఫీ నమూనాలు ఏప్రిల్/మే 2022లో సృష్టించబడి ఉండవచ్చు మరియు సాధారణ కోడ్ బేస్‌ను పంచుకుంటాయి.

అయినప్పటికీ, మాల్వేర్ యొక్క విభిన్న సంస్కరణలు కమ్యూనికేషన్ ప్రోటోకాల్, ఎన్‌క్రిప్షన్ మరియు కార్యాచరణలో చిన్న తేడాలను చూపుతాయి. మాల్వేర్ యొక్క తాజా వెర్షన్ కెర్నల్ మోడ్ రూట్‌కిట్‌ను కలిగి ఉంది, ఇది రెప్టైల్ అని పిలువబడే ఓపెన్-సోర్స్ ప్రాజెక్ట్ యొక్క సవరించిన సంస్కరణ. Melofee రూట్‌కిట్ పరిమిత కార్యాచరణను కలిగి ఉంది, దానికదే దాచుకోవడానికి ఒక హుక్‌ను ఇన్‌స్టాల్ చేయడం మరియు యూజర్‌ల్యాండ్ కాంపోనెంట్‌తో కమ్యూనికేషన్‌ను నిర్ధారించడానికి మరొకటి ఇన్‌స్టాల్ చేయడం వంటివి, అయితే అది దొంగతనంగా ముప్పు తెచ్చేలా చేస్తుంది. Melofee గురించిన వివరాలను ఫ్రెంచ్ సైబర్ సెక్యూరిటీ సంస్థ విడుదల చేసింది.

ది ఇన్ఫెక్షన్ చైన్ ఆఫ్ ది మెలోఫీ రూట్‌కిట్

ఈ మాల్వేర్ యొక్క ఇన్ఫెక్షన్ చైన్ అనేక దశలను కలిగి ఉంటుంది, ఇది ఇన్‌స్టాలర్‌ను పొందేందుకు షెల్ ఆదేశాలను అమలు చేయడంతో పాటు దాడి చేసేవారి-నియంత్రిత సర్వర్ నుండి కస్టమ్ బైనరీని కలిగి ఉంటుంది. C++లో వ్రాయబడిన ఇన్‌స్టాలర్, రూట్‌కిట్ మరియు సర్వర్ ఇంప్లాంట్ రెండింటినీ అమలు చేయడానికి బాధ్యత వహిస్తుంది, రెండూ బూట్ సమయంలో అమలు చేయబడతాయని నిర్ధారిస్తుంది. ఇన్‌స్టాల్ చేసిన తర్వాత, రూట్‌కిట్ మరియు ఇంప్లాంట్ కలిసి పని చేస్తాయి, అవి గుర్తించబడకుండా దాచబడతాయి మరియు రీబూట్‌ల అంతటా కొనసాగుతాయి.

ఇంప్లాంట్ అనేక సామర్థ్యాలను కలిగి ఉంది, దాని ప్రక్రియను ముగించడం మరియు నిలకడను తొలగించడం, దానినే నవీకరించడం మరియు పునఃప్రారంభించడం, పరస్పర చర్య కోసం కొత్త సాకెట్‌ను సృష్టించడం, సిస్టమ్ సమాచారాన్ని సేకరించడం, ఫైల్‌లను చదవడం మరియు వ్రాయడం, షెల్‌ను ప్రారంభించడం మరియు డైరెక్టరీలను నిర్వహించడం వంటి అనేక సామర్థ్యాలు ఉన్నాయి. ఇది బాధితుడి సిస్టమ్‌కు యాక్సెస్ మరియు నియంత్రణ కోసం దాడి చేసేవారికి ఉపయోగించే శక్తివంతమైన సాధనంగా చేస్తుంది.

కమాండ్-అండ్-కంట్రోల్ (C&C) సర్వర్‌తో కమ్యూనికేట్ చేయడానికి, Melofee మాల్వేర్ అనుకూల ప్యాకెట్ ఆకృతిని ఉపయోగించి TCP కమ్యూనికేషన్‌కు మద్దతు ఇస్తుంది. ఇది C&C సర్వర్‌తో డేటాను మార్పిడి చేసుకోవడానికి TLS ఎన్‌క్రిప్టెడ్ ఛానెల్‌ని కూడా ఉపయోగించవచ్చు, కమ్యూనికేషన్‌కు అదనపు భద్రతను అందిస్తుంది. అదనంగా, మాల్వేర్ KCP ప్రోటోకాల్ ఉపయోగించి డేటాను పంపగలదు, సాధ్యమయ్యే కమ్యూనికేషన్ పద్ధతుల పరిధిని విస్తరిస్తుంది.

వింటి గ్రూప్ దశాబ్దాలుగా యాక్టివ్‌గా ఉందని నమ్ముతారు

APT41 , బ్లాక్‌ఫ్లై, బేరియం, బ్రాంజ్ అట్లాస్, డబుల్ డ్రాగన్, వికెడ్ స్పైడర్ మరియు వికెడ్ పాండా వంటి అనేక మారుపేర్లతో కూడా పిలువబడే విన్నిటీ, చైనా ప్రభుత్వంచే స్పాన్సర్ చేయబడుతుందని విశ్వసిస్తున్న ఒక అపఖ్యాతి పాలైన హ్యాకింగ్ గ్రూప్. సమూహం కనీసం 2007 నుండి సైబర్ గూఢచర్యం మరియు ఆర్థికంగా ప్రేరేపించబడిన దాడులను చురుకుగా ప్రారంభించింది. ఆరోగ్య సంరక్షణ, గేమింగ్ మరియు సాంకేతికతతో సహా వివిధ రంగాలలోని సంస్థలపై అనేక ఉన్నత స్థాయి దాడులకు Winnti సమూహం బాధ్యత వహిస్తుంది.

ఇటీవల, Melofee అవస్థాపన యొక్క విశ్లేషణ అనేక ఇతర హ్యాకింగ్ సమూహాలు మరియు వారి కమాండ్-అండ్-కంట్రోల్ (C&C) సర్వర్‌లతో కనెక్షన్‌లను వెల్లడించింది. ఈ సమూహాలలో ShadowPad , Winnti మరియు HelloBot ఉన్నాయి, ఇవన్నీ గతంలో వివిధ దాడులకు కారణమయ్యాయి. అదనంగా, Melofee ఇన్‌ఫ్రాస్ట్రక్చర్ అనేక డొమైన్‌లకు కూడా లింక్ చేయబడింది