A kínai fenyegetőző színész Melofee malware-t alkalmaz a Linux rendszerek kémkedésére

Az ExaTrack, egy franciaországi kiberbiztonsági vállalat figyelmeztetést adott ki egy újonnan azonosított "Melofee" nevű Linux implantátum miatt, amelyet a Winnti kínai kiberkémcsoport használt célzott támadások végrehajtására.

A Melofee Linux-kiszolgálókat céloz meg, és shell-parancsokon keresztül telepíthető, hasonlóan a Winnti által használt többi Linux rootkit-hez. A rosszindulatú program tartalmaz egy kernel módú rootkitet, amely a Reptile nyílt forráskódú projekt módosított változata. Melofee-mintákat azonosítottak, és közös kódbázisuk van, de a titkosításban, a kommunikációs protokollban és a funkcionalitásban kis változásokat mutatnak. A rosszindulatú program legújabb verziója tartalmaz egy kernel módú rootkit-et. A Melofee fertőzési lánca magában foglalja a shell-parancsok használatát a telepítő és az egyéni bináris letöltéséhez a támadó által vezérelt szerverről. A C++ nyelven írt telepítő telepíti a rootkitet és a kiszolgálóimplantátumot is, és biztosítja, hogy mindkettő végrehajtásra kerüljön a rendszerindításkor.

Az implantátum számos műveletet hajthat végre, beleértve a folyamat leállítását és a perzisztencia eltávolítását, a frissítést, a rendszerinformációk kiszűrését, a shell elindítását és a könyvtárak létrehozását/törlését. A Melofee képes TCP-n keresztül kommunikálni, egyéni csomagformátumot használhat, és adatokat küldhet a KCP protokollon keresztül. Az ExaTrack a Melofee infrastruktúrájának elemzése feltárta a kapcsolatokat más kártevőcsaládok, például a ShadowPad, a Winnti és a HelloBot által használt C&C szerverekkel. Az ExaTrack egy „AlienReverse” nevű Linux-implantátumot is felfedezett, amely hasonlóságot mutatott a Melofee kódjával, de feltételezhető, hogy egy különálló malware család.

Mi az a Winnti kínai APT?

A Winnti Group egy kínai Advanced Persistent Threat (APT), amely legalább 2010 óta működik. A csoport kifinomult kiberkémkedési kampányairól ismert, és számos nagy horderejű támadáshoz kapcsolták különböző iparágakban, beleértve a játékokat is. , egészségügy, technológia és távközlés. A Winnti csoportot összefüggésbe hozták a szellemi tulajdon, a forráskód és más érzékeny információk ellopásával, amelyeket aztán valószínűleg kereskedelmi haszonszerzésre vagy a kínai kormány érdekeinek támogatására használnak fel.

A csoportot kapcsolatba hozták az ellátási lánc támadásaival is, amelyek során szoftvergyártókat és más külső beszállítókat céloznak meg, hogy hozzáférjenek ügyfeleik hálózatához. Összességében a Winnti Group az egyik legfejlettebb és legtermékenyebb APT csoport, amely Kínában működik.