中国の攻撃者が Melofee マルウェアを使用して Linux システムをスパイ
フランスに本拠を置くサイバーセキュリティ企業である ExaTrack は、中国のサイバースパイグループ Winnti が標的型攻撃を実行するために使用した、「Melofee」という名前の新たに特定された Linux インプラントについて警告を発しました。
Melofee は Linux サーバーをターゲットにするように設計されており、Winnti が採用している他の Linux ルートキットと同様に、シェル コマンドを介してインストールされます。このマルウェアには、オープンソース プロジェクトの Reptile の修正版であるカーネル モードのルートキットが含まれています。 Melofe のサンプルが特定されており、これらは共通のコード ベースを共有していますが、暗号化、通信プロトコル、および機能に小さな変更が見られます。このマルウェアの最新バージョンには、カーネル モードのルートキットが含まれています。 Melofee の感染チェーンでは、シェル コマンドを使用して、攻撃者が制御するサーバーからインストーラーとカスタム バイナリをダウンロードします。 C++ で記述されたインストーラーは、ルートキットとサーバー インプラントの両方をインストールし、起動時に両方が確実に実行されるようにします。
インプラントは、プロセスの強制終了と永続性の削除、自身の更新、システム情報の抽出、シェルの起動、ディレクトリの作成/削除など、いくつかのアクションを実行できます。 Melofe は、TCP 経由で通信し、カスタム パケット形式を使用し、KCP プロトコル経由でデータを送信できます。 ExaTrack が Melofee のインフラストラクチャを分析した結果、ShadowPad、Winnti、HelloBot などの他のマルウェア ファミリが使用する C&C サーバーとの接続が明らかになりました。 ExaTrack は、「AlienReverse」と呼ばれる Linux インプラントも発見しました。これは、Melofee のコードと類似しているものの、別のマルウェア ファミリであると考えられています。
Winnti Chinese APT とは何ですか?
Winnti Group は、中国の Advanced Persistent Threat (APT) で、少なくとも 2010 年から活動を続けています。 このグループは、洗練されたサイバー スパイ キャンペーンで知られており、ゲームを含むさまざまな業界の標的に対する多数の注目を集める攻撃に関連付けられています。 、ヘルスケア、テクノロジー、通信。 Winnti Group は、知的財産、ソース コード、およびその他の機密情報の盗難に関与しており、商業的利益または中国政府の利益を支援するために使用される可能性があります。
このグループは、ソフトウェア ベンダーやその他のサードパーティ サプライヤーを標的にして、顧客のネットワークへのアクセスを取得するサプライ チェーン攻撃の使用にも関連しています。全体として、Winnti Group は、中国で活動している最も高度で多作な APT グループの 1 つと考えられています。