Kinijos grėsmių veikėjas naudoja „Melofee“ kenkėjišką programą, kad šnipinėtų „Linux“ sistemas

Prancūzijoje įsikūrusi kibernetinio saugumo įmonė „ExaTrack“ paskelbė įspėjimą dėl naujai identifikuoto „Linux“ implanto, pavadinto „Melofee“, kurį Kinijos kibernetinio šnipinėjimo grupė „Winnti“ naudojo tikslinėms atakoms vykdyti.

„Melofee“ yra skirta „Linux“ serveriams ir yra įdiegta naudojant apvalkalo komandas, panašiai kaip ir kiti „Winnti“ naudojami Linux šakniniai rinkiniai. Kenkėjiška programinė įranga apima branduolio režimo šaknų rinkinį, kuris yra modifikuota atvirojo kodo projekto Reptile versija. Buvo nustatyti melofee pavyzdžiai ir jie turi bendrą kodo bazę, tačiau turi nedidelius šifravimo, ryšio protokolo ir funkcionalumo pokyčius. Naujausioje kenkėjiškos programos versijoje yra branduolio režimo rootkit. „Melofee“ užkrėtimo grandinė apima apvalkalo komandų naudojimą, norint atsisiųsti diegimo programą ir pasirinktinį dvejetainį failą iš užpuoliko valdomo serverio. Diegimo programa, parašyta C++, įdiegia ir rootkit, ir serverio implantą ir užtikrina, kad abu būtų vykdomi įkrovos metu.

Implantas gali atlikti keletą veiksmų, įskaitant sustabdyti savo procesą ir pašalinti patvarumą, atnaujinti save, išfiltruoti sistemos informaciją, paleisti apvalkalą ir sukurti / ištrinti katalogus. Melofee gali bendrauti per TCP, naudoti pasirinktinį paketo formatą ir siųsti duomenis per KCP protokolą. „ExaTrack“ atlikta Melofee infrastruktūros analizė atskleidė ryšius su C&C serveriais, kuriuos naudoja kitos kenkėjiškų programų šeimos, tokios kaip „ShadowPad“, „Winnti“ ir „HelloBot“. „ExaTrack“ taip pat atrado „Linux“ implantą, pavadintą „AlienReverse“, kuris panašus į Melofee kodą, tačiau manoma, kad tai yra atskira kenkėjiškų programų šeima.

Kas yra Winnti Chinese APT?

„Winnti Group“ yra Kinijos pažangioji nuolatinė grėsmė (APT), veikianti mažiausiai nuo 2010 m. Grupė žinoma dėl savo sudėtingų kibernetinio šnipinėjimo kampanijų ir buvo siejama su daugybe didelio atgarsio išpuolių prieš taikinius įvairiose pramonės šakose, įskaitant žaidimus. , sveikatos priežiūra, technologijos ir telekomunikacijos. „Winnti Group“ buvo siejama su intelektinės nuosavybės, šaltinio kodo ir kitos neskelbtinos informacijos vagyste, kuri vėliau greičiausiai naudojama siekiant komercinės naudos arba Kinijos vyriausybės interesams paremti.

Grupė taip pat buvo siejama su tiekimo grandinės atakų naudojimu, kai jos taikosi į programinės įrangos pardavėjus ir kitus trečiųjų šalių tiekėjus, kad gautų prieigą prie savo klientų tinklų. Apskritai Winnti grupė laikoma viena pažangiausių ir produktyviausių APT grupių, veikiančių Kinijoje.