Melofee Malware
Ang malware na tinawag na Melofee ay natuklasan upang i-target ang mga server ng Linux. Ang dating hindi kilalang malware na ito ay naka-deploy na sinamahan ng kernel mode rootkit at ini-install sa nalabag na device gamit ang mga shell command, katulad ng iba pang Linux rootkit na ginagamit ng Chinese cyberespionage group na Winnti. Ang mga sample ng Melofee na tinukoy ng mga mananaliksik ng infosec ay malamang na ginawa noong Abril/Mayo 2022 at nagbabahagi ng karaniwang code base.
Gayunpaman, ang iba't ibang bersyon ng malware ay nagpapakita ng maliliit na pagkakaiba sa protocol ng komunikasyon, pag-encrypt, at pagpapagana. Ang pinakabagong bersyon ng malware ay naglalaman ng kernel mode rootkit, na isang binagong bersyon ng isang open-source na proyekto na tinatawag na Reptile. Ang rootkit ng Melofee ay may limitadong pag-andar, tulad ng pag-install ng hook upang itago ang sarili nito at isa pa upang matiyak ang pakikipag-ugnayan sa bahagi ng userland, ngunit ginagawa itong isang stealthier na banta. Ang mga detalye tungkol kay Melofee ay inilabas ng isang French cybersecurity firm.
Ang Infection Chain ng Melofee Rootkit
Ang chain ng impeksyon ng malware na ito ay nagsasangkot ng ilang hakbang, na nagsisimula sa pagpapatupad ng mga shell command para kumuha ng installer pati na rin ng custom na binary mula sa isang server na kontrolado ng attacker. Ang installer, na nakasulat sa C++, ay may pananagutan sa pag-deploy ng parehong rootkit at server implant, na tinitiyak na pareho ang isasagawa sa oras ng boot. Kapag na-install na, ang rootkit at ang implant ay nagtutulungan upang manatiling nakatago mula sa pagtuklas at magpatuloy sa mga pag-reboot.
Ang implant mismo ay may ilang mga kakayahan, kabilang ang kakayahang wakasan ang proseso nito at alisin ang pagtitiyaga, i-update ang sarili nito at i-restart, lumikha ng bagong socket para sa pakikipag-ugnayan, mangolekta ng impormasyon ng system, magbasa at magsulat ng mga file, maglunsad ng shell, at pamahalaan ang mga direktoryo. Ginagawa nitong isang mahusay na tool para magamit ng mga umaatake upang makakuha ng access at kontrol sa system ng isang biktima.
Para makipag-ugnayan sa Command-and-Control (C&C) server, sinusuportahan ng Melofee malware ang TCP communication gamit ang custom na packet format. Maaari din itong gumamit ng TLS na naka-encrypt na channel upang makipagpalitan ng data sa C&C server, na nagbibigay ng karagdagang layer ng seguridad sa komunikasyon. Bilang karagdagan, ang malware ay maaaring magpadala ng data gamit ang KCP protocol, na nagpapalawak ng hanay ng mga posibleng paraan ng komunikasyon.
Ang Winnti Group ay pinaniniwalaan na naging Aktibo sa loob ng ilang dekada
Ang Winnti, na kilala rin sa ilang mga alyas tulad ng APT41 , Blackfly, Barium, Bronze Atlas, Double Dragon, Wicked Spider at Wicked Panda, ay isang kilalang-kilalang grupo ng pag-hack na pinaniniwalaang itinataguyod ng gobyerno ng China. Ang grupo ay aktibong naglulunsad ng cyber espionage at financially motivated na mga pag-atake mula noong hindi bababa sa 2007. Ang grupong Winnti ay may pananagutan para sa ilang mga high-profile na pag-atake laban sa mga organisasyon sa iba't ibang sektor, kabilang ang pangangalagang pangkalusugan, gaming, at teknolohiya.
Kamakailan, ang pagsusuri sa imprastraktura ng Melofee ay nagsiwalat ng mga koneksyon sa ilang iba pang mga grupo ng pag-hack at ang kanilang mga command-and-control (C&C) server. Kasama sa mga pangkat na ito ang ShadowPad , Winnti, at HelloBot, na lahat ay naging responsable para sa iba't ibang pag-atake sa nakaraan. Bilang karagdagan, ang imprastraktura ng Melofee ay na-link din sa ilang mga domain na mayroon
