Kinesisk trusselskuespiller anvender Melofee-malware til at spionere på Linux-systemer

ExaTrack, en cybersikkerhedsvirksomhed baseret i Frankrig, har udsendt en advarsel om et nyligt identificeret Linux-implantat, kaldet "Melofee", som er blevet brugt af den kinesiske cyberspionagegruppe Winnti til at udføre målrettede angreb.

Melofee er designet til at målrette Linux-servere og installeres gennem shell-kommandoer, svarende til andre Linux-rootkits, der anvendes af Winnti. Malwaren inkluderer et rootkit i kernetilstand, der er en modificeret version af open source-projektet Reptile. Melofee-eksempler er blevet identificeret, og de deler en fælles kodebase, men udviser små ændringer i kryptering, kommunikationsprotokol og funktionalitet. Den nyeste version af malware indeholder inklusion af et rootkit i kernetilstand. Infektionskæden for Melofee involverer brugen af shell-kommandoer til at downloade et installationsprogram og brugerdefineret binær fra en server, der kontrolleres af angriberen. Installationsprogrammet, skrevet i C++, installerer både rootkittet og serverimplantatet og sikrer, at begge udføres ved opstart.

Implantatet kan udføre flere handlinger, herunder at dræbe sin proces og fjerne persistens, opdatere sig selv, eksfiltrere systeminformation, starte en shell og oprette/slette mapper. Melofee kan kommunikere via TCP, bruge et brugerdefineret pakkeformat og sende data gennem KCP-protokollen. ExaTracks analyse af Melofees infrastruktur afslørede forbindelser med C&C-servere brugt af andre malware-familier såsom ShadowPad, Winnti og HelloBot. ExaTrack opdagede også et Linux-implantat kaldet 'AlienReverse', som viste ligheder med Melofees kode, men som menes at være en særskilt malware-familie.

Hvad er Winnti Chinese APT?

Winnti Group er en kinesisk Advanced Persistent Threat (APT), der har været aktiv siden mindst 2010. Gruppen er kendt for sine sofistikerede cyberspionagekampagner og har været forbundet med adskillige højprofilerede angreb mod mål i forskellige industrier, herunder spil , sundhedspleje, teknologi og telekommunikation. Winnti-gruppen er blevet forbundet med tyveri af intellektuel ejendom, kildekode og andre følsomme oplysninger, som derefter sandsynligvis bruges til kommerciel vinding eller til at støtte kinesiske regeringsinteresser.

Gruppen er også blevet sat i forbindelse med brugen af supply chain-angreb, hvor de retter sig mod softwareleverandører og andre tredjepartsleverandører for at få adgang til deres kunders netværk. Samlet set anses Winnti Group for at være en af de mest avancerede og produktive APT-grupper, der opererer i Kina.