เมโลฟี มัลแวร์

มัลแวร์ชื่อ Melofee ถูกค้นพบเพื่อกำหนดเป้าหมายเซิร์ฟเวอร์ Linux มัลแวร์ที่ไม่รู้จักก่อนหน้านี้ถูกติดตั้งพร้อมกับรูทคิทโหมดเคอร์เนล และติดตั้งบนอุปกรณ์ที่ถูกเจาะโดยใช้คำสั่งเชลล์ คล้ายกับรูทคิทของลินุกซ์อื่นๆ ที่ใช้โดย Winnti กลุ่มจารกรรมไซเบอร์ของจีน ตัวอย่าง Melofee ที่ระบุโดยนักวิจัยของ infosec น่าจะสร้างขึ้นในเดือนเมษายน/พฤษภาคม 2022 และใช้ฐานรหัสร่วมกัน

อย่างไรก็ตาม เวอร์ชันต่างๆ ของมัลแวร์แสดงความแตกต่างเล็กน้อยในโปรโตคอลการสื่อสาร การเข้ารหัส และฟังก์ชันการทำงาน มัลแวร์เวอร์ชันล่าสุดมีรูทคิทโหมดเคอร์เนล ซึ่งเป็นเวอร์ชันดัดแปลงของโครงการโอเพ่นซอร์สชื่อ Reptile รูทคิท Melofee มีฟังก์ชันการทำงานที่จำกัด เช่น การติดตั้งตะขอเพื่อซ่อนตัวเองและอีกอันหนึ่งเพื่อให้แน่ใจว่ามีการสื่อสารกับส่วนประกอบของผู้ใช้ แต่นั่นทำให้เป็นภัยคุกคามที่ซ่อนเร้น รายละเอียดเกี่ยวกับ Melofee เปิดเผยโดยบริษัทรักษาความปลอดภัยทางไซเบอร์ของฝรั่งเศส

ห่วงโซ่การติดเชื้อของ Melofee Rootkit

ห่วงโซ่การติดไวรัสของมัลแวร์นี้เกี่ยวข้องกับหลายขั้นตอน ซึ่งเริ่มต้นด้วยการดำเนินการของคำสั่งเชลล์เพื่อเรียกโปรแกรมติดตั้งรวมถึงไบนารีที่กำหนดเองจากเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี โปรแกรมติดตั้งซึ่งเขียนด้วยภาษา C++ มีหน้าที่ปรับใช้ทั้งรูทคิทและเซิร์ฟเวอร์ปลูกฝัง ตรวจสอบให้แน่ใจว่าทั้งสองอย่างถูกดำเนินการในเวลาบูต เมื่อติดตั้งแล้ว รูทคิทและรากเทียมจะทำงานร่วมกันเพื่อซ่อนจากการตรวจจับและคงอยู่ตลอดการรีบูต

ตัวเทียมเองมีความสามารถหลายประการ รวมถึงความสามารถในการยุติกระบวนการและลบการคงอยู่ อัปเดตตัวเองและรีสตาร์ท สร้างซ็อกเก็ตใหม่สำหรับการโต้ตอบ รวบรวมข้อมูลระบบ อ่านและเขียนไฟล์ เปิดใช้เชลล์ และจัดการไดเร็กทอรี ทำให้เป็นเครื่องมือที่มีประสิทธิภาพสำหรับผู้โจมตีเพื่อใช้ในการเข้าถึงและควบคุมระบบของเหยื่อ

เพื่อสื่อสารกับเซิร์ฟเวอร์ Command-and-Control (C&C) มัลแวร์ Melofee รองรับการสื่อสาร TCP โดยใช้รูปแบบแพ็คเก็ตที่กำหนดเอง นอกจากนี้ยังสามารถใช้ช่องสัญญาณที่เข้ารหัส TLS เพื่อแลกเปลี่ยนข้อมูลกับเซิร์ฟเวอร์ C&C ซึ่งเป็นการรักษาความปลอดภัยเพิ่มเติมอีกชั้นในการสื่อสาร นอกจากนี้ มัลแวร์ยังสามารถส่งข้อมูลโดยใช้โปรโตคอล KCP ซึ่งเป็นการขยายขอบเขตของวิธีการสื่อสารที่เป็นไปได้

เชื่อว่ากลุ่ม Winnti มีการใช้งานมานานหลายทศวรรษ

Winnti หรือที่รู้จักกันในหลายๆ นามแฝง เช่น APT41 , Blackfly, Barium, Bronze Atlas, Double Dragon, Wicked Spider และ Wicked Panda เป็นกลุ่มแฮ็คชื่อกระฉ่อนที่เชื่อว่าได้รับการสนับสนุนจากรัฐบาลจีน กลุ่มดังกล่าวเปิดตัวการจารกรรมทางไซเบอร์และการโจมตีด้วยแรงจูงใจทางการเงินอย่างแข็งขันตั้งแต่อย่างน้อยปี 2550 กลุ่ม Winnti รับผิดชอบการโจมตีที่มีชื่อเสียงระดับสูงหลายครั้งต่อองค์กรในภาคส่วนต่าง ๆ รวมถึงการดูแลสุขภาพ เกม และเทคโนโลยี

เมื่อเร็ว ๆ นี้ การวิเคราะห์โครงสร้างพื้นฐานของ Melofee ได้เปิดเผยการเชื่อมต่อกับกลุ่มแฮ็คอื่น ๆ และเซิร์ฟเวอร์ command-and-control (C&C) ของพวกเขา กลุ่มเหล่านี้รวมถึง ShadowPad , Winnti และ HelloBot ซึ่งล้วนมีส่วนรับผิดชอบต่อการโจมตีหลายครั้งในอดีต นอกจากนี้ โครงสร้างพื้นฐานของ Melofee ยังเชื่อมโยงกับหลายโดเมนที่มี