Melofee 恶意软件

已发现名为 Melofee 的恶意软件以 Linux 服务器为目标。这种以前未知的恶意软件与内核模式 rootkit 一起部署，并使用 shell 命令安装在被破坏的设备上，类似于中国网络间谍组织 Winnti 使用的其他 Linux rootkit。 infosec 研究人员发现的 Melofee 样本很可能是在 2022 年 4 月/5 月创建的，并且共享一个通用代码库。

但是，不同版本的恶意软件在通信协议、加密和功能方面存在细微差别。该恶意软件的最新版本包含一个内核模式 rootkit，它是一个名为 Reptile 的开源项目的修改版本。 Melofee rootkit 的功能有限，例如安装一个钩子来隐藏自己，并安装另一个钩子来确保与用户空间组件的通信，但这使它成为一种更隐蔽的威胁。一家法国网络安全公司发布了有关 Melofee 的详细信息。

Melofee Rootkit 的感染链

该恶意软件的感染链涉及多个步骤，首先是执行 shell 命令以从攻击者控制的服务器中获取安装程序和自定义二进制文件。用 C++ 编写的安装程序负责部署 rootkit 和服务器植入程序，确保两者都在启动时执行。安装后，rootkit 和植入程序将协同工作以保持隐藏状态，不被检测到并在重新启动后持续存在。

植入物本身具有多种功能，包括终止其进程并删除持久性、更新自身并重新启动、创建新的交互套接字、收集系统信息、读写文件、启动外壳和管理目录的能力。这使它成为攻击者用来访问和控制受害者系统的强大工具。

为了与命令和控制 (C&C) 服务器通信，Melofee 恶意软件支持使用自定义数据包格式的 TCP 通信。它还可以使用 TLS 加密通道与 C&C 服务器交换数据，为通信提供额外的安全层。此外，恶意软件可以使用 KCP 协议发送数据，从而扩大可能的通信方法范围。

据信，Winnti 集团已活跃数十年

Winnti 也被称为APT41 、Blackfly、Barium、Bronze Atlas、Double Dragon、Wicked Spider 和 Wicked Panda 等多个别名，是一个臭名昭著的黑客组织，据信是由中国政府资助的。至少自 2007 年以来，该组织一直在积极发起网络间谍活动和出于经济动机的攻击。Winnti组织对医疗保健、游戏和技术等各个领域的组织发起了多次引人注目的攻击。

最近，对 Melofee 基础设施的分析揭示了与其他几个黑客组织及其命令与控制 (C&C) 服务器的联系。这些组织包括ShadowPad 、Winnti 和 HelloBot，它们都曾对过去的各种攻击负责。此外，Melofee 基础设施还链接到几个域