Melofee Kötü Amaçlı Yazılım
Melofee adlı kötü amaçlı yazılımın Linux sunucularını hedeflediği keşfedildi. Daha önce bilinmeyen bu kötü amaçlı yazılım, bir çekirdek modu rootkit'i ile birlikte konuşlandırılır ve ihlal edilen cihaza, Çinli siber casusluk grubu Winnti tarafından kullanılan diğer Linux rootkit'lerine benzer şekilde, kabuk komutları kullanılarak yüklenir. Infosec araştırmacıları tarafından tanımlanan Melofee örnekleri, muhtemelen Nisan/Mayıs 2022'de oluşturuldu ve ortak bir kod tabanını paylaşıyor.
Bununla birlikte, kötü amaçlı yazılımın farklı sürümleri, iletişim protokolü, şifreleme ve işlevsellik açısından küçük farklılıklar gösterir. Kötü amaçlı yazılımın en son sürümü, Reptile adlı açık kaynaklı bir projenin değiştirilmiş bir sürümü olan bir çekirdek modu rootkit'i içerir. Melofee kök takımı, kendini gizlemek için bir kanca ve kullanıcı alanı bileşeniyle iletişimi sağlamak için başka bir kanca kurmak gibi sınırlı işlevselliğe sahiptir, ancak bu onu daha gizli bir tehdit haline getirir. Melofee ile ilgili detaylar bir Fransız siber güvenlik firması tarafından yayınlandı.
Melofee Rootkit'in Enfeksiyon Zinciri
Bu kötü amaçlı yazılımın bulaşma zinciri, bir yükleyicinin yanı sıra saldırganın kontrolündeki bir sunucudan özel bir ikili dosya getirmek için kabuk komutlarının yürütülmesiyle başlayan birkaç adımı içerir. C++ ile yazılmış yükleyici, hem rootkit'in hem de sunucu implantının konuşlandırılmasından sorumludur ve her ikisinin de önyükleme sırasında yürütülmesini sağlar. Kurulduktan sonra, rootkit ve implant birlikte çalışarak tespit edilmeden gizlenir ve yeniden başlatmalarda devam eder.
İmplantın kendisi, sürecini sonlandırmak ve kalıcılığı kaldırmak, kendini güncellemek ve yeniden başlatmak, etkileşim için yeni bir soket oluşturmak, sistem bilgilerini toplamak, dosyaları okumak ve yazmak, bir kabuk başlatmak ve dizinleri yönetmek dahil olmak üzere çeşitli yeteneklere sahiptir. Bu, saldırganların bir kurbanın sistemine erişim sağlamak ve bu sistem üzerinde kontrol sağlamak için kullanması için onu güçlü bir araç haline getirir.
Melofee kötü amaçlı yazılımı, Komuta ve Kontrol (C&C) sunucusuyla iletişim kurmak için özel bir paket biçimi kullanarak TCP iletişimini destekler. Ayrıca, C&C sunucusuyla veri alışverişi yapmak için TLS şifreli bir kanal kullanabilir ve iletişime ek bir güvenlik katmanı sağlar. Ek olarak, kötü amaçlı yazılım KCP protokolünü kullanarak veri göndererek olası iletişim yöntemleri yelpazesini genişletebilir.
Winnti Group'un On Yıllardır Aktif Olduğuna İnanılıyor
APT41 , Blackfly, Barium, Bronze Atlas, Double Dragon, Wicked Spider ve Wicked Panda gibi birçok takma adla da bilinen Winnti, Çin hükümeti tarafından desteklendiğine inanılan kötü şöhretli bir bilgisayar korsanlığı grubudur. Grup, en az 2007'den beri aktif olarak siber casusluk ve mali amaçlı saldırılar başlatıyor. Winnti grubu, sağlık, oyun ve teknoloji de dahil olmak üzere çeşitli sektörlerdeki kuruluşlara yönelik çok sayıda yüksek profilli saldırıdan sorumlu.
Son zamanlarda, Melofee altyapısının analizi, diğer birçok bilgisayar korsanlığı grubuyla ve onların komuta ve kontrol (C&C) sunucularıyla bağlantıları ortaya çıkardı. Bu gruplar, geçmişte çeşitli saldırılardan sorumlu olan ShadowPad , Winnti ve HelloBot'u içerir. Ek olarak, Melofee altyapısı birkaç etki alanına da bağlanmıştır.
