Phần mềm độc hại Melofee
Phần mềm độc hại có tên Melofee đã được phát hiện nhằm vào các máy chủ Linux. Phần mềm độc hại chưa từng được biết đến này được triển khai kèm theo một rootkit chế độ kernel và được cài đặt trên thiết bị bị xâm nhập bằng cách sử dụng các lệnh shell, tương tự như các rootkit Linux khác do nhóm gián điệp mạng Winnti của Trung Quốc sử dụng. Các mẫu Melofee được các nhà nghiên cứu infosec xác định có khả năng được tạo vào tháng 4/tháng 5 năm 2022 và chia sẻ một cơ sở mã chung.
Tuy nhiên, các phiên bản khác nhau của phần mềm độc hại cho thấy những khác biệt nhỏ trong giao thức truyền thông, mã hóa và chức năng. Phiên bản mới nhất của phần mềm độc hại chứa rootkit chế độ hạt nhân, đây là phiên bản sửa đổi của dự án nguồn mở có tên là Reptile. Rootkit Melofee có chức năng hạn chế, chẳng hạn như cài đặt một hook để ẩn chính nó và một hook khác để đảm bảo liên lạc với thành phần vùng người dùng, nhưng điều đó khiến nó trở thành một mối đe dọa lén lút hơn. Thông tin chi tiết về Melofee đã được công bố bởi một công ty an ninh mạng của Pháp.
Chuỗi lây nhiễm của Rootkit Melofee
Chuỗi lây nhiễm của phần mềm độc hại này bao gồm một số bước, bắt đầu bằng việc thực thi các lệnh shell để tìm nạp trình cài đặt cũng như tệp nhị phân tùy chỉnh từ máy chủ do kẻ tấn công kiểm soát. Trình cài đặt, được viết bằng C++, chịu trách nhiệm triển khai cả rootkit và bộ cấy máy chủ, đảm bảo rằng cả hai đều được thực thi khi khởi động. Sau khi được cài đặt, rootkit và bộ cấy hoạt động cùng nhau để không bị phát hiện và tồn tại qua các lần khởi động lại.
Bản thân bộ cấy có một số khả năng, bao gồm khả năng chấm dứt quá trình của nó và loại bỏ sự tồn tại, tự cập nhật và khởi động lại, tạo một ổ cắm mới để tương tác, thu thập thông tin hệ thống, đọc và ghi tệp, khởi chạy trình bao và quản lý thư mục. Điều này làm cho nó trở thành một công cụ mạnh mẽ để kẻ tấn công sử dụng nhằm giành quyền truy cập và kiểm soát hệ thống của nạn nhân.
Để giao tiếp với máy chủ Command-and-Control (C&C), phần mềm độc hại Melofee hỗ trợ giao tiếp TCP bằng định dạng gói tùy chỉnh. Nó cũng có thể sử dụng kênh được mã hóa TLS để trao đổi dữ liệu với máy chủ C&C, cung cấp thêm một lớp bảo mật cho giao tiếp. Ngoài ra, phần mềm độc hại có thể gửi dữ liệu bằng giao thức KCP, mở rộng phạm vi của các phương thức liên lạc có thể.
Tập đoàn Winnti được cho là đã hoạt động trong nhiều thập kỷ
Winnti, còn được biết đến với một số bí danh như APT41 , Blackfly, Barium, Bronze Atlas, Double Dragon, Wicked Spider và Wicked Panda, là một nhóm hack khét tiếng được cho là do chính phủ Trung Quốc tài trợ. Nhóm này đã tích cực thực hiện các cuộc tấn công gián điệp mạng và có động cơ tài chính kể từ ít nhất là năm 2007. Nhóm Winnti đã chịu trách nhiệm về một số cuộc tấn công nổi tiếng nhằm vào các tổ chức trong nhiều lĩnh vực khác nhau, bao gồm chăm sóc sức khỏe, trò chơi và công nghệ.
Gần đây, phân tích cơ sở hạ tầng Melofee đã tiết lộ các kết nối với một số nhóm hack khác và máy chủ chỉ huy và kiểm soát (C&C) của họ. Các nhóm này bao gồm ShadowPad , Winnti và HelloBot, tất cả đều chịu trách nhiệm cho các cuộc tấn công khác nhau trong quá khứ. Ngoài ra, cơ sở hạ tầng Melofee cũng đã được liên kết với một số miền có
