Melofee 惡意軟件

已發現名為 Melofee 的惡意軟件以 Linux 服務器為目標。這種以前未知的惡意軟件與內核模式 rootkit 一起部署，並使用 shell 命令安裝在被破壞的設備上，類似於中國網絡間諜組織 Winnti 使用的其他 Linux rootkit。 infosec 研究人員發現的 Melofee 樣本很可能是在 2022 年 4 月/5 月創建的，並且共享一個通用代碼庫。

但是，不同版本的惡意軟件在通信協議、加密和功能方面存在細微差別。該惡意軟件的最新版本包含一個內核模式 rootkit，它是一個名為 Reptile 的開源項目的修改版本。 Melofee rootkit 的功能有限，例如安裝一個鉤子來隱藏自己，並安裝另一個鉤子來確保與用戶空間組件的通信，但這使它成為一種更隱蔽的威脅。一家法國網絡安全公司發布了有關 Melofee 的詳細信息。

Melofee Rootkit 的感染鏈

該惡意軟件的感染鏈涉及多個步驟，首先是執行 shell 命令以從攻擊者控制的服務器中獲取安裝程序和自定義二進製文件。用 C++ 編寫的安裝程序負責部署 rootkit 和服務器植入程序，確保兩者都在啟動時執行。安裝後，rootkit 和植入程序將協同工作以保持隱藏狀態，不被檢測到並在重新啟動後持續存在。

植入物本身俱有多種功能，包括終止其進程並刪除持久性、更新自身並重新啟動、創建新的交互套接字、收集系統信息、讀寫文件、啟動外殼和管理目錄的能力。這使它成為攻擊者用來訪問和控制受害者係統的強大工具。

為了與命令和控制 (C&C) 服務器通信，Melofee 惡意軟件支持使用自定義數據包格式的 TCP 通信。它還可以使用 TLS 加密通道與 C&C 服務器交換數據，為通信提供額外的安全層。此外，惡意軟件可以使用 KCP 協議發送數據，從而擴大可能的通信方法範圍。

據信，Winnti 集團已活躍數十年

Winnti 也被稱為APT41 、Blackfly、Barium、Bronze Atlas、Double Dragon、Wicked Spider 和 Wicked Panda 等多個別名，是一個臭名昭著的黑客組織，據信是由中國政府資助的。至少自 2007 年以來，該組織一直在積極發起網絡間諜活動和出於經濟動機的攻擊。Winnti 組織對醫療保健、遊戲和技術等各個領域的組織發起了多次引人注目的攻擊。

最近，對 Melofee 基礎設施的分析揭示了與其他幾個黑客組織及其命令與控制 (C&C) 服務器的聯繫。這些組織包括ShadowPad 、Winnti 和 HelloBot，它們都曾對過去的各種攻擊負責。此外，Melofee 基礎設施還鏈接到幾個域