L'attore di minacce cinese impiega il malware Melofee per spiare i sistemi Linux
ExaTrack, una società di sicurezza informatica con sede in Francia, ha emesso un avviso su un impianto Linux appena identificato, chiamato "Melofee", che è stato utilizzato dal gruppo di spionaggio informatico cinese Winnti per eseguire attacchi mirati.
Melofee è progettato per indirizzare i server Linux e viene installato tramite comandi shell, in modo simile ad altri rootkit Linux impiegati da Winnti. Il malware include un rootkit in modalità kernel che è una versione modificata del progetto open source Reptile. I campioni di Melofee sono stati identificati e condividono una base di codice comune ma presentano piccoli cambiamenti nella crittografia, nel protocollo di comunicazione e nella funzionalità. La versione più recente del malware prevede l'inclusione di un rootkit in modalità kernel. La catena di infezione per Melofee prevede l'uso di comandi shell per scaricare un programma di installazione e un binario personalizzato da un server controllato dall'aggressore. Il programma di installazione, scritto in C++, installa sia il rootkit che l'impianto del server e garantisce che entrambi vengano eseguiti al momento dell'avvio.
L'impianto può eseguire diverse azioni, tra cui l'interruzione del processo e la rimozione della persistenza, l'aggiornamento stesso, l'estrazione di informazioni di sistema, l'avvio di una shell e la creazione/eliminazione di directory. Melofee può comunicare tramite TCP, utilizzare un formato di pacchetto personalizzato e inviare dati tramite il protocollo KCP. L'analisi di ExaTrack dell'infrastruttura di Melofee ha rivelato connessioni con i server C&C utilizzati da altre famiglie di malware come ShadowPad, Winnti e HelloBot. ExaTrack ha anche scoperto un impianto Linux chiamato "AlienReverse", che mostra somiglianze con il codice di Melofee, ma si ritiene che sia una famiglia distinta di malware.
Cos'è l'APT cinese Winnti?
Il Winnti Group è un'Advanced Persistent Threat (APT) cinese attiva almeno dal 2010. Il gruppo è noto per le sue sofisticate campagne di spionaggio informatico ed è stato collegato a numerosi attacchi di alto profilo contro obiettivi in vari settori, tra cui i giochi , sanità, tecnologia e telecomunicazioni. Il gruppo Winnti è stato associato al furto di proprietà intellettuale, codice sorgente e altre informazioni sensibili, che vengono poi probabilmente utilizzate per guadagni commerciali o per sostenere gli interessi del governo cinese.
Il gruppo è stato anche collegato all'uso di attacchi alla catena di approvvigionamento, in cui prendono di mira fornitori di software e altri fornitori di terze parti per ottenere l'accesso alle reti dei propri clienti. Nel complesso, il Gruppo Winnti è considerato uno dei gruppi APT più avanzati e prolifici che operano al di fuori della Cina.
