Шкідливе програмне забезпечення Melofee

Виявлено, що зловмисне програмне забезпечення під назвою Melofee націлене на сервери Linux. Це раніше невідоме зловмисне програмне забезпечення розгортається разом із руткітом режиму ядра та встановлюється на зламаний пристрій за допомогою команд оболонки, подібно до інших руткітів Linux, які використовує китайська група кібершпигунства Winnti. Зразки Melofee, визначені дослідниками Infosec, імовірно, були створені у квітні-травні 2022 року та мають спільну кодову базу.

Однак різні версії зловмисного програмного забезпечення мають незначні відмінності в протоколі зв’язку, шифруванні та функціональності. Остання версія зловмисного ПЗ містить руткіт режиму ядра, який є модифікованою версією проекту з відкритим кодом під назвою Reptile. Руткіт Melofee має обмежену функціональність, як-от установку гака, щоб приховати себе, і іншого, щоб забезпечити зв’язок із компонентом користувацької області, але це робить його більш прихованою загрозою. Подробиці про Melofee оприлюднила французька фірма з кібербезпеки.

Ланцюжок зараження руткіта Melofee

Ланцюжок зараження цим зловмисним програмним забезпеченням включає кілька етапів, які починаються з виконання команд оболонки для отримання інсталятора, а також спеціального двійкового файлу з сервера, контрольованого зловмисником. Інсталятор, написаний мовою C++, відповідає за розгортання як руткіта, так і імплантату сервера, забезпечуючи виконання обох під час завантаження. Після встановлення руткіт і імплантат працюють разом, щоб залишатися прихованими від виявлення та зберігатися під час перезавантаження.

Сам імплантат має кілька можливостей, у тому числі здатність завершувати свій процес і видаляти збереження, оновлювати себе та перезапускати, створювати новий сокет для взаємодії, збирати системну інформацію, читати та записувати файли, запускати оболонку та керувати каталогами. Це робить його потужним інструментом для використання зловмисниками, щоб отримати доступ до системи жертви та контролювати її.

Для зв’язку з сервером командування та керування (C&C) зловмисне програмне забезпечення Melofee підтримує зв’язок TCP за допомогою спеціального формату пакетів. Він також може використовувати зашифрований канал TLS для обміну даними з сервером C&C, забезпечуючи додатковий рівень безпеки зв’язку. Крім того, зловмисне програмне забезпечення може надсилати дані за допомогою протоколу KCP, розширюючи діапазон можливих методів зв’язку.

Вважається, що Winnti Group працює десятиліттями

Winnti, також відома під кількома псевдонімами, такими як APT41 , Blackfly, Barium, Bronze Atlas, Double Dragon, Wicked Spider і Wicked Panda, є сумнозвісною хакерською групою, яку, як вважають, спонсорує китайський уряд. Група активно запускає кібершпигунство та фінансово мотивовані атаки принаймні з 2007 року. Група Winnti відповідальна за кілька резонансних атак на організації в різних секторах, включаючи охорону здоров’я, ігри та технології.

Нещодавно аналіз інфраструктури Melofee виявив зв’язки з декількома іншими хакерськими групами та їхніми командно-контрольними (C&C) серверами. Ці групи включають ShadowPad , Winnti та HelloBot, усі з яких відповідали за різні атаки в минулому. Крім того, інфраструктура Melofee також була пов’язана з кількома доменами, які мають