మెలోఫీ మాల్వేర్
Melofee అని పిలువబడే మాల్వేర్ Linux సర్వర్లను లక్ష్యంగా చేసుకోవడానికి కనుగొనబడింది. ఇంతకు ముందు తెలియని ఈ మాల్వేర్ కెర్నల్ మోడ్ రూట్కిట్తో పాటుగా అమలు చేయబడుతుంది మరియు చైనీస్ సైబర్స్పియోనేజ్ గ్రూప్ Winnti ద్వారా ఉపయోగించే ఇతర Linux రూట్కిట్ల మాదిరిగానే షెల్ ఆదేశాలను ఉపయోగించి ఉల్లంఘించిన పరికరంలో ఇన్స్టాల్ చేయబడింది. ఇన్ఫోసెక్ పరిశోధకులు గుర్తించిన మెలోఫీ నమూనాలు ఏప్రిల్/మే 2022లో సృష్టించబడి ఉండవచ్చు మరియు సాధారణ కోడ్ బేస్ను పంచుకుంటాయి.
అయినప్పటికీ, మాల్వేర్ యొక్క విభిన్న సంస్కరణలు కమ్యూనికేషన్ ప్రోటోకాల్, ఎన్క్రిప్షన్ మరియు కార్యాచరణలో చిన్న తేడాలను చూపుతాయి. మాల్వేర్ యొక్క తాజా వెర్షన్ కెర్నల్ మోడ్ రూట్కిట్ను కలిగి ఉంది, ఇది రెప్టైల్ అని పిలువబడే ఓపెన్-సోర్స్ ప్రాజెక్ట్ యొక్క సవరించిన సంస్కరణ. Melofee రూట్కిట్ పరిమిత కార్యాచరణను కలిగి ఉంది, దానికదే దాచుకోవడానికి ఒక హుక్ను ఇన్స్టాల్ చేయడం మరియు యూజర్ల్యాండ్ కాంపోనెంట్తో కమ్యూనికేషన్ను నిర్ధారించడానికి మరొకటి ఇన్స్టాల్ చేయడం వంటివి, అయితే అది దొంగతనంగా ముప్పు తెచ్చేలా చేస్తుంది. Melofee గురించిన వివరాలను ఫ్రెంచ్ సైబర్ సెక్యూరిటీ సంస్థ విడుదల చేసింది.
ది ఇన్ఫెక్షన్ చైన్ ఆఫ్ ది మెలోఫీ రూట్కిట్
ఈ మాల్వేర్ యొక్క ఇన్ఫెక్షన్ చైన్ అనేక దశలను కలిగి ఉంటుంది, ఇది ఇన్స్టాలర్ను పొందేందుకు షెల్ ఆదేశాలను అమలు చేయడంతో పాటు దాడి చేసేవారి-నియంత్రిత సర్వర్ నుండి కస్టమ్ బైనరీని కలిగి ఉంటుంది. C++లో వ్రాయబడిన ఇన్స్టాలర్, రూట్కిట్ మరియు సర్వర్ ఇంప్లాంట్ రెండింటినీ అమలు చేయడానికి బాధ్యత వహిస్తుంది, రెండూ బూట్ సమయంలో అమలు చేయబడతాయని నిర్ధారిస్తుంది. ఇన్స్టాల్ చేసిన తర్వాత, రూట్కిట్ మరియు ఇంప్లాంట్ కలిసి పని చేస్తాయి, అవి గుర్తించబడకుండా దాచబడతాయి మరియు రీబూట్ల అంతటా కొనసాగుతాయి.
ఇంప్లాంట్ అనేక సామర్థ్యాలను కలిగి ఉంది, దాని ప్రక్రియను ముగించడం మరియు నిలకడను తొలగించడం, దానినే నవీకరించడం మరియు పునఃప్రారంభించడం, పరస్పర చర్య కోసం కొత్త సాకెట్ను సృష్టించడం, సిస్టమ్ సమాచారాన్ని సేకరించడం, ఫైల్లను చదవడం మరియు వ్రాయడం, షెల్ను ప్రారంభించడం మరియు డైరెక్టరీలను నిర్వహించడం వంటి అనేక సామర్థ్యాలు ఉన్నాయి. ఇది బాధితుడి సిస్టమ్కు యాక్సెస్ మరియు నియంత్రణ కోసం దాడి చేసేవారికి ఉపయోగించే శక్తివంతమైన సాధనంగా చేస్తుంది.
కమాండ్-అండ్-కంట్రోల్ (C&C) సర్వర్తో కమ్యూనికేట్ చేయడానికి, Melofee మాల్వేర్ అనుకూల ప్యాకెట్ ఆకృతిని ఉపయోగించి TCP కమ్యూనికేషన్కు మద్దతు ఇస్తుంది. ఇది C&C సర్వర్తో డేటాను మార్పిడి చేసుకోవడానికి TLS ఎన్క్రిప్టెడ్ ఛానెల్ని కూడా ఉపయోగించవచ్చు, కమ్యూనికేషన్కు అదనపు భద్రతను అందిస్తుంది. అదనంగా, మాల్వేర్ KCP ప్రోటోకాల్ ఉపయోగించి డేటాను పంపగలదు, సాధ్యమయ్యే కమ్యూనికేషన్ పద్ధతుల పరిధిని విస్తరిస్తుంది.
వింటి గ్రూప్ దశాబ్దాలుగా యాక్టివ్గా ఉందని నమ్ముతారు
APT41 , బ్లాక్ఫ్లై, బేరియం, బ్రాంజ్ అట్లాస్, డబుల్ డ్రాగన్, వికెడ్ స్పైడర్ మరియు వికెడ్ పాండా వంటి అనేక మారుపేర్లతో కూడా పిలువబడే విన్నిటీ, చైనా ప్రభుత్వంచే స్పాన్సర్ చేయబడుతుందని విశ్వసిస్తున్న ఒక అపఖ్యాతి పాలైన హ్యాకింగ్ గ్రూప్. సమూహం కనీసం 2007 నుండి సైబర్ గూఢచర్యం మరియు ఆర్థికంగా ప్రేరేపించబడిన దాడులను చురుకుగా ప్రారంభించింది. ఆరోగ్య సంరక్షణ, గేమింగ్ మరియు సాంకేతికతతో సహా వివిధ రంగాలలోని సంస్థలపై అనేక ఉన్నత స్థాయి దాడులకు Winnti సమూహం బాధ్యత వహిస్తుంది.
ఇటీవల, Melofee అవస్థాపన యొక్క విశ్లేషణ అనేక ఇతర హ్యాకింగ్ సమూహాలు మరియు వారి కమాండ్-అండ్-కంట్రోల్ (C&C) సర్వర్లతో కనెక్షన్లను వెల్లడించింది. ఈ సమూహాలలో ShadowPad , Winnti మరియు HelloBot ఉన్నాయి, ఇవన్నీ గతంలో వివిధ దాడులకు కారణమయ్యాయి. అదనంగా, Melofee ఇన్ఫ్రాస్ట్రక్చర్ అనేక డొమైన్లకు కూడా లింక్ చేయబడింది